Careto 又回来了 ： 沉默 10 年后有什么新发现 ？

面具再次被解雇 george. kucherin @ gmail. com mriverolopez @ gmail. comGeorgy Kucherin & Marc Rivero Ló pez卡巴斯基 ， 俄罗斯和西班牙 摘要 The Mask（也被称为Careto）是一名自2007年以来一直在活动的高级威胁行为者。过去观察到，该行为者主要针对高profile组织开展网络间谍活动。从技术角度来看，该行为者的攻击一直非常引人注目，通常涉及使用零日漏洞、引导kit以及适用于不同操作系统的模块化后门程序。 在过去的十年中，《面具》一直尽力避免被研究人员捕捉：自2014年以来，关于该组织的信息一直为空白。尽管如此，在我们最近的研究中，我们成功揭露了这一威胁行为者的一系列新的恶意活动——最新活动可追溯到2024年初。在我们的论文中，我们将详细描述这些活动，并重点介绍《面具》如何实现初始访问、横向移动、恶意软件执行以及数据泄露。 具体而言，我们首先描述了《The Mask》如何利用目标组织之一的MDaemon邮件服务器获得初始立足点。然后详细说明了该威胁行为体利用安全解决方案中的未知漏洞，以隐蔽方式在多台机器上传播恶意植入物。最后，我们讨论了所提供植入物的功能以及其中实施的隐蔽措施。 《面具》威胁组一直以极高的谨慎态度进行网络攻击。尽管如此，在最近的行动中，该威胁组的成员还是犯了一些虽小但却致命的错误。在本文中，我们将描述这些错误，并说明它们如何帮助我们不仅检测到所讨论的恶意活动，还对发现的campaign进行了归属分析。 在论文结尾，我们呈现了《面具》组织的历史攻击与近期攻击的对比，以展示该组织的运营活动如何随着时间演变。 INTRODUCTION The Mask 是一个被观察到执行高度复杂攻击的APT团体，其主要目标包括政府组织、外交实体、能源公司和研究机构。该团体曾使用零日漏洞利用，并且known还开发了独特且专业编写的植入程序。Windows,macOSandLinux. 这一APT威胁行为者自2007年起就被观察到，并持续至2013年[1]。值得注意的是，自那以后一直没有关于该威胁组织的新闻报道。然而，我们最近发现了两个感染集群，我们有中等到较高的置信度将其归因于“The Mask”： • 拉丁美洲一家组织的感染 ， 于 2019 年进行。 • 2022年在同一拉丁美洲组织成功实施的一次攻击。值得注意的是，我们在这些攻击中使用的恶意软件（我们称之为FakeHMP）在2024年1月还被观察到部署在某个未知个人或组织的机器上。 在本论文的后续部分，我们将提供关于这些感染的信息，首先讨论2022年和2024年发生的近期感染事件，然后介绍2019年的历史感染事件。 MDAEMON 服务器感染 尽管没有关于2024年受感染机器的具体数据来源，我们还是查明了位于拉丁美洲的组织在2022年是如何被攻击者渗透的。具体来说，我们发现攻击者成功渗透了该组织的邮件服务器，该服务器运行的是MDaemon邮件软件。虽然我们尚未确定黑客入侵的具体方法，但已确认被渗透的服务器被用于在组织网络内保持持久性访问。至于所使用的持久化方法，相当独特，涉及使用MDaemon的Web邮件组件WorldClient： 面具已被取消 WorldClient 允许加载扩展（类似于IIS扩展），这些扩展可以处理来自客户端的HTTP请求。这些扩展在文件中注册。。为了注册一个 C:\ MDaemon\ WorldClient\ WorldClient. ini) ， 以及路径 为了建立持久性，APT小组构建了自己的恶意WorldClient扩展，并通过添加相应的条目进行了配置。（ 包含相对 URL) and(包含CgiBase6/ WorldClient / 邮箱CgiFile6扩展 DLL 的路径 ，） 。通过这样做 ， 对手成为C:\ MDaemon\ WorldClient\ HTML\ MDMBoxSrch. dll能够通过向 URL 发出 HTTP 请求来与恶意扩展进行交互扩展名 ， 则必须指定由该扩展名控制的相对 URL (在参数CgiBase扩展 DLL (在参数中） 。扩展 DLL 由 WorldClient. exe 进程加载。CgiFile https: / / < webmail 服务器域。值得一提的是 ， 由于电子邮件服务器具有外部 IP地址 ， 因此任何name > / WorldClient / mailbox连接到 Internet 的计算机可用于与恶意扩展进行交互。 应注意，描述的持久性方法无法被常见的自动启动应用程序检测工具（如Autoruns）检测到。 已安装恶性延长 在组织的电子邮件服务器上发现的恶意 WorldClient 扩展显示三个导出 此外 ， 请求的重新加载 URL 参数设置为 “是 ” 。处理发送到 URL 的 POST 请求的扩展https: / / < webmail 服务器域名 > /可以提供两个功能 ：WorldClient / 邮箱• 执行攻击者提供的命令。命令的 ID 在URL 参数 ， 而QueryID命令参数在POST请求体中指定。为了执行命令，扩展加载位于并调用其导出 ， 将 URL 传递给它C:\ MDaemon\ App\ MDUserQuery. dllrunMBoxSrch参数和请求正文。 • 更新用于处理命令的库(如下所述) 。 DLL 主体是MDUserQuery. dll在 POST 请求正文中提供 ， 而 DLL 正文大小在URL 参数。CalStart 命令处理库 如上所述 ， MDUserQuery. dll 库有一个导出名为, 它处理命令runMBoxSrch由攻击者提供。它支持以下命令 ： 在安装了MDaemon后门之后，攻击者利用该后门进行感染组织网络的侦察，并传播至网络中感兴趣的目标机器。 通过计划任务扩展 在2022年的感染案例中，观察到攻击者通过使用计划任务来进行横向传播至其他机器。在这一过程中，攻击者将以下文件复制到了远程机器上： 之后 ， 攻击者执行以下命令序列 ： schtasks / create / S\\ < 远程受害者机器 IP 地址 > / U < 远程机器用户名 >/ P < 远程机器用户密码 > / tn "Microsoft\ Windows\ WindowsColorSystem\ pm -HASCertRetr "/ XML" C: Windows\ Temp\ Tpm - HASCertRetr. xml ");Tpm - HASCertRetr. xml • 启动创建的计划任务以执行脚本上的C:\ Windows\ Temp\ ~ DFAE01202C5F0DBA42. cmd 远程计算机: `schtasks /run /S \\\<远程受害机器IP地址> /U \<远程机器用户名> /P \<远程机器用户密码> /tn "Microsoft\Windows\ WindowsColorSystem\pm-HASCertRetr"` • 在. bat 文件的执行完成后 ， 删除创建的计划任务 ： schtasks / delete / S\\ < 远程受害者机器 IP 地址 > / U < remote计算机用户名 > / P < 远程计算机用户密码 > / tn "Microsoft\Windows\ WindowsColorSystem\ pm - HASCertRetr "/ F); 反过来 ， 由计划任务启动的. bat 文件包含以下行 ： ```batch reg add HKLM\SYSTEM\CurrentControlSet\Services\hmpalertreg add HKLM\SYSTEM\CurrentControlSet\Services\hmpalert\Instancesreg add HKLM\SYSTEM\CurrentControlSet\Services\hmpalert\Instances /v DefaultInstance /t REG_SZ /d CryptoGuardreg add HKLM\SYSTEM\CurrentControlSet\Services\hmpalert\Instances\CryptoGuardreg add HKLM\SYSTEM\CurrentControlSet\Services\hmpalert\Instances\CryptoGuard /v Altitude /t REG_SZ /d 345800reg add HKLM\SYSTEM\CurrentControlSet\Services\hmpalert\Instances\CryptoGuard /v Flags /t REG_DWORD /d 00000000sc create hmpalert binPath= c:\windows\system32\drivers\hmpalert.sys type= kernel start= system``` 请注意，这里的翻译主要是保留了原始的批处理命令格式，因为这些命令本身是技术性的，不需要额外的解释或翻译。 这些命令将几个条目添加到注册表项,HKLM\ SYSTEM\ CurrentControlSet\ Services\ hmpalert 安装hmpalert.sys驱动程序，并配置使其在开机时加载。如下方所述，该驱动程序被滥用以加载FakeHMP植入 物。 通过 Google UPDATER 扩展 在 2024 感染案例中 ， 我们观察到攻击者以替代方式配置 FakeHMP 植入物。为了 实现这一目标 ， 他们将名为 goopdate. dll 的恶意 DLL 放入文件夹C:\ Program Files (x86)\ Google\. 此文件夹包含合法的Google 更新程序可执行文件配置为定期在计算机上运行。由 将恶意 DLL 放在此文件夹中 ， 攻击者在每次定期启动Google 更新程序这种技术并不新颖 ， 以前已经被其他威胁行为者观察到 ， 例如 MuddyWater [2] 。至于安装程序本身 ， 它执行与前面描述的. bat 文件相同的操作 ： 它添加HitmanPro- 相关条目到注册表 ， 并创建 hmpalert 服务以在启动时启动驱动程序。 FAKEHMP 植入物 此植入物在 2022 年和 2024 年的两种情况下都在机器上发现 ， 在启动时通过(SHA256 哈希 ：),hmpalert. sys9733eb1802daf774cfe576179b1096b5861593d702c6c0226b75410b13dab6ae 合法的司机HitmanPro 警报安全解决方案。它的职责之一是加载HitmanPro的 DLL 位于到每个正在运行的进程。但是 ， DLL 加载C:\ Windows\ System32\ hmpalert. dll 实施存在缺陷：驱动程序在加载之前并未验证DLL文件的合法性。威胁行为者决定利用这一漏洞，借用合法安 全解决方案的驱动程序来实现恶意的持久性。通过放置恶意的DLL文件，并安装 hmpalert. sys 驱动程序 ， 攻击者使 合法驱动程序将恶意 DLL 加载到每个正在运行的进程中。通过将此DLL加载到每个进程中，它仅从三个进程中执行恶意操作。为了决定是否应在给定的进程中以这种方式工作，该DLL在启动时计算其命令行的SHA256哈希值，并将其与以下三个值进行比较： • 反射加载解密的 DLL 并调用其入口点函数• 卸载本身。• 解密其资源 (类型:， ID ： 300) 与 AES 一起解压缩 ， 从而获得第二阶段 DLLRCDATA 作为这些行动的结果，FakeHMP被