Careto tái xuất: Mối đe dọa mạng nguy hiểm, tấn công tinh vi

Sau một thập kỷ vắng bóng trên bản đồ an ninh mạng, nhóm tin tặc Careto, còn được biết đến với tên gọi “The Mask”, đã tái xuất với những phương pháp tấn công mạng tinh vi mới. Nhóm này đang nhắm mục tiêu vào các tổ chức cao cấp, minh chứng cho sự phát triển không ngừng của mối đe dọa mạng.

Các nhà nghiên cứu bảo mật đã phát hiện bằng chứng mới về hoạt động của Careto. Những phát hiện này cho thấy nhóm đã phát triển chiến thuật để xâm nhập vào cơ sở hạ tầng trọng yếu và duy trì quyền truy cập dai dẳng vào các mạng nhạy cảm.

Sự Trở Lại Của Careto (The Mask)

Lịch Sử Hoạt Động và Thời Gian Vắng Bóng

Nhóm Careto đã tiến hành các cuộc tấn công mạng tiên tiến từ ít nhất năm 2007. Mục tiêu truyền thống của chúng là các cơ quan chính phủ, các thực thể ngoại giao và các tổ chức nghiên cứu.

Nổi tiếng với việc triển khai các khai thác zero-day để phát tán các implant phức tạp, Careto đã im hơi lặng tiếng sau đầu năm 2014. Điều này khiến các chuyên gia bảo mật không chắc chắn về các hoạt động trong tương lai của nhóm.

Bằng Chứng Tái Hoạt Động Gần Đây

Tuy nhiên, các cuộc điều tra chi tiết về các cụm tấn công có chủ đích gần đây đã xác nhận rằng nhóm đang hoạt động trở lại. Sự tái xuất này cho thấy một sự trở lại đáng báo động.

Các nhà phân tích và nghiên cứu từ Securelist đã xác định các chiến dịch gần đây của nhóm. Đặc biệt, có bằng chứng đáng chú ý về các cuộc tấn công nhắm vào một tổ chức ở Mỹ Latinh trong năm 2022. Nguồn thông tin chi tiết có thể được tìm thấy tại Securelist: Careto is Back.

Điều làm cho sự tái xuất này đặc biệt đáng lo ngại là cách tiếp cận đã được tinh chỉnh của nhóm. Chúng tập trung vào việc giành quyền và duy trì kiểm soát trong các mạng bị xâm nhập.

Kỹ Thuật Tấn Công Mới Của Careto

Phương pháp lây nhiễm mới của nhóm cho thấy sự thay đổi chiến thuật. Careto giờ đây nhắm mục tiêu vào cơ sở hạ tầng email.

Mục Tiêu Hạ Tầng Email MDaemon

Sau khi xâm nhập vào mạng của nạn nhân, những kẻ tấn công giành được quyền truy cập vào máy chủ email MDaemon. Đây là một trung tâm liên lạc quan trọng trong nhiều tổ chức.

Việc nhắm mục tiêu vào máy chủ email cho phép Careto có một vị trí chiến lược để giám sát và kiểm soát luồng thông tin nhạy cảm. Đây là một điểm xâm nhập lý tưởng cho nhiều cuộc tấn công tiếp theo.

Kỹ Thuật Duy Trì Quyền Truy Cập (Persistence)

Thay vì triển khai mã độc rõ ràng, Careto đã sử dụng một kỹ thuật duy trì quyền truy cập khéo léo. Nhóm này tận dụng thành phần WorldClient webmail của MDaemon, cho phép tải các tiện ích mở rộng tùy chỉnh.

Những kẻ tấn công đã biên dịch một tiện ích mở rộng độc hại và sửa đổi tệp cấu hình WorldClient.ini. Chúng thêm các mục để chuyển hướng các yêu cầu HTTP tới mã tùy chỉnh của mình.

Cụ thể, chúng đã cấu hình tham số CgiBase6 để trỏ đến "/WorldClient/mailbox" và đặt CgiFile6 thành tệp DLL độc hại của chúng. Điều này cho phép chúng tương tác với tiện ích mở rộng thông qua lưu lượng webmail thông thường.

[WorldClient]...CgiBase6="/WorldClient/mailbox"CgiFile6="C:\MDaemon\WorldClient\Plugins\MailboxPlugin.dll"...

Kỹ thuật này tỏ ra cực kỳ hiệu quả vì nó hòa trộn với các hoạt động email hợp pháp. Điều này giúp các hoạt động xâm nhập mạng của chúng trở nên khó bị phát hiện hơn.

Triển Khai Mã Độc FakeHMP

Từ vị trí vững chắc này, Careto đã triển khai implant FakeHMP chưa từng được biết đến trước đây trên toàn mạng. Chúng sử dụng một chiến lược di chuyển ngang tinh vi.

Nhóm này đã tận dụng các driver hệ thống hợp pháp, đặc biệt là driver của HitmanPro Alert (hmpalert.sys). Mục đích là để tiêm mã độc vào các tiến trình Windows có đặc quyền cao như winlogon.exe và dwm.exe.

Kỹ thuật này là một minh chứng cho sự tinh vi trong các cuộc tấn công mạng hiện đại. Việc lợi dụng các thành phần hệ thống hợp pháp giúp che giấu dấu vết của mã độc và duy trì quyền truy cập lâu dài.

Năng Lực Giám Sát và Điều Khiển

Implant FakeHMP cung cấp cho những kẻ tấn công các khả năng giám sát toàn diện. Điều này bao gồm:

• Ghi lại thao tác gõ phím (keystroke logging)
• Chụp ảnh màn hình (screenshot capture)
• Truy xuất tệp (file retrieval)
• Triển khai thêm payload (additional payload deployment)

Những khả năng này cho phép Careto thu thập thông tin nhạy cảm, đánh cắp dữ liệu và mở rộng quyền kiểm soát của mình trong mạng bị xâm nhập mạng. Đây là một mối đe dọa mạng đáng kể đối với bất kỳ tổ chức nào.

Đánh Giá Mối Đe Dọa Hiện Tại

Sự trở lại này cho thấy Careto vẫn là một mối đe dọa mạng đáng gờm. Chúng kết hợp hàng thập kỷ kinh nghiệm hoạt động với các phương pháp lây nhiễm sáng tạo.

Việc khai thác các thành phần phần mềm hợp pháp để đạt được mức độ ẩn mình và bền bỉ tối đa là một chiến thuật hiệu quả. Điều này nhấn mạnh tầm quan trọng của việc giám sát chặt chẽ không chỉ các hoạt động đáng ngờ mà cả các hoạt động tưởng chừng như hợp lệ trên hệ thống.

Để chống lại những mối đe dọa mạng như Careto, các tổ chức cần áp dụng chiến lược bảo mật đa lớp. Bao gồm bảo vệ email nâng cao, giám sát điểm cuối và phát hiện hành vi bất thường.

Việc hiểu rõ các kỹ thuật mới của nhóm tin tặc này giúp các chuyên gia an ninh mạng tăng cường khả năng phòng thủ. Đồng thời, nó cũng cung cấp thông tin tình báo về mã độc và các phương pháp tấn công mạng mới nhất.