На международной конференции Virus Bulletin специалисты Лаборатории Касперского поделились
исследованиями группировки The Mask (Careto), известной высокотехнологичными атаками с 2007 года. Объектами атак становились дипломатические структуры, правительства и научные учреждения. После долгого затишья группировка вновь привлекла внимание, продемонстрировав новые изощрённые подходы.
Одним из самых примечательных эпизодов стал случай заражения организации в Латинской Америке в 2022 году. Хакеры скомпрометировали почтовый сервер MDaemon, внедрив собственное вредоносное расширение через компонент WorldClient. Конфигурация расширений позволила злоумышленникам получить устойчивый доступ и управлять заражённой инфраструктурой с помощью HTTP-запросов.
Установленный вредоносный модуль FakeHMP обладал широкими возможностями: сбор данных, запись нажатий клавиш (кейлоггинг), создание скриншотов и развёртывание других вредоносных программ. Для распространения внутри сети использовался легитимный драйвер hmpalert.sys, что позволило внедрять вредоносные библиотеки в критически важные процессы, включая winlogon.exe. В 2024 году исследователи обнаружили схожую технику заражения, но с использованием Google Updater вместо ранее применявшихся задач планировщика.
Анализ данных показал,
что в 2019 году та же организация подверглась атакам с использованием фреймворков Careto2 и Goreto. Первый включал модули для управления конфигурациями, фильтрации файлов и хранения украденных данных. Второй, написанный на Golang, позволял взаимодействовать с Google Drive для загрузки и выполнения команд. Методы сохранения доступа включали
Источник: SecurityLab