„The Mask“: APT-Gruppe mit ausgeklügeltem Multi-Plattform-Malware-Arsenal : „The Mask“ feiert Comeback
Ein geheimnisvoller Cyberspionage-Akteur namens „The Mask“ sorgt erneut für Schlagzeilen: Der Akteur wird unter anderem mit gezielten Angriffen in Verbindung gebracht, die 2019 und 2022 eine Organisation in Lateinamerika ins Visier nahmen. Der neue Auftritt als Multi-Plattform-Malware ist besorgniserregend.
„Die Mask APT ist ein legendärer Bedrohungsakteur, der seit mindestens 2007 hoch entwickelte Angriffe durchführt“, so die Kaspersky-Spezialisten Georgy Kucherin und Marc Rivero in einer aktuellen Analyse. „Ihre Ziele sind in der Regel hochrangige Organisationen, wie Regierungen, diplomatische Einrichtungen und Forschungsinstitute.“
Der auch als Careto bekannte Bedrohungsakteur wurde bereits vor über einem Jahrzehnt, im Februar 2014, von dem russischen Cybersicherheitsunternehmen dokumentiert und hat seit 2007 über 380 einzelne Opfer angegriffen. Wer hinter der Gruppe steckt, bleibt bis heute ein Rätsel.
Der Einstieg in die Zielnetzwerke erfolgt typischerweise über Spear-Phishing-E-Mails. Diese enthalten Links zu manipulierten Websites, die Zero-Day-Sicherheitslücken ausnutzen (zum Beispiel CVE-2012-0773), um Schadsoftware zu installieren. Nach der Infektion werden die Nutzer auf unverdächtige Seiten wie YouTube oder Nachrichtenportale weitergeleitet.
Hinweise deuten darauf hin, dass die Gruppe ein vielseitiges Arsenal an Malware entwickelt hat, das Geräte mit Windows, macOS, Android und iOS angreifen kann. Diese Vielseitigkeit und ihre langjährige Aktivität machen „The Mask“ zu einer der gefährlichsten APT-Gruppen weltweit.
Schon früher außergewöhnlich raffiniert
Kaspersky hat herausgefunden, dass „The Mask“ 2022 eine Organisation in Lateinamerika angegriffen hat. Dabei nutzte die Gruppe eine raffinierte Methode, um Zugang zu erlangen und dauerhaft im System zu bleiben. Der Angriff konzentrierte sich auf eine MDaemon-Webmail-Komponente namens WorldClient.
Laut den Sicherheitsexperten ermöglichte WorldClient dem Angreifer, benutzerdefinierte Erweiterungen zu laden, die spezielle HTTP-Anfragen zwischen Clients und dem E-Mail-Server verarbeiten. Die Hacker erstellten und konfigurierten ihre eigene Erweiterung, indem sie bösartige Einträge in die Konfigurationsdatei WorldClient.ini einfügten und auf eine manipulierte DLL verwiesen.
Die bösartige Erweiterung diente dazu, Befehle auszuführen, die das Netzwerk erkunden, das Dateisystem manipulieren und zusätzliche Malware laden konnten. Im Angriff von 2022 nutzten die Angreifer diese Technik, um sich im Netzwerk der Organisation weiter auszubreiten und eine Backdoor namens FakeHMP (hmpalert.dll) zu installieren.
FakeHMP wurde über einen legitimen Treiber der Sicherheitssoftware HitmanPro Alert (hmpalert.sys) gestartet. Der Treiber prüfte nicht, ob die geladenen DLLs vertrauenswürdig waren, wodurch die Malware während des Systemstarts in privilegierte Prozesse eingeschleust werden konnte.
Die Backdoor ermöglichte den Zugriff auf Dateien, das Protokollieren von Tastatureingaben und das Nachladen weiterer Schadsoftware. Zusätzlich installierten die Angreifer Tools wie einen Mikrofonrekorder und Programme zum Diebstahl sensibler Daten, um die Kontrolle über die kompromittierten Systeme zu maximieren.
Careto als Verwandlungskünstler
Die Kaspersky-Untersuchung zeigt auch, dass dieselbe Organisation bereits 2019 Ziel eines Angriffs war. Dabei kamen zwei Malware-Frameworks zum Einsatz, die als Careto2 und Goreto bezeichnet werden.
Careto2 ist eine aktualisierte Version eines modularen Frameworks, das zwischen 2007 und 2013 aktiv war. Es verwendet verschiedene Plug-ins, um Screenshots zu erstellen, Änderungen in bestimmten Ordnern zu überwachen und Daten in einen von Angreifern kontrollierten Microsoft OneDrive-Speicher zu übertragen.
Goreto, ein auf der Programmiersprache Golang basierendes Toolset, verbindet sich regelmäßig mit einem Google Drive-Speicher, um Befehle abzurufen und auszuführen. Zu den Funktionen gehören das Hoch- und Herunterladen von Dateien, das Ausführen von Shell-Befehlen sowie das Abrufen und Starten zusätzlicher Schadsoftware. Zudem kann Goreto Tastatureingaben aufzeichnen und Screenshots anfertigen.
Die Bedrohungsakteure nutzten dieselbe Methode auch Anfang 2024, um mithilfe des Treibers hmpalert.sys den Computer einer unbekannten Person oder Organisation zu infizieren.
Laut Kaspersky beweist Careto eine bemerkenswerte Vielseitigkeit und technische Raffinesse. Es zeigt, wie geschickt die Gruppe Persistenzmethoden entwickelt, etwa durch die Nutzung des MDaemon-E-Mail-Servers oder das Laden von Malware-Komponenten über den HitmanPro Alert-Treiber. Überdies beeindruckt die Komplexität der Multi-Komponenten-Malware, die auf verschiedene Szenarien zugeschnitten ist.