بعد غياب دام عقداً من الزمن، عادت مجموعة التهديد السيبراني المعروفة باسم “Careto” أو “The Mask” إلى الساحة، مسلحةً بأساليب هجوم متطورة تستهدف منظمات رفيعة المستوى. يأتي هذا العودة لتؤكد أن مجموعة Careto لا تزال تشكل تهديداً قوياً بعد سنوات من الصمت.
كشف باحثون أمنيون عن أدلة جديدة تشير إلى نشاط المجموعة، موضحين كيف طورت Careto تكتيكاتها لاختراق البنية التحتية الحيوية والحفاظ على وصول مستمر إلى الشبكات الحساسة.
تُعرف مجموعة Careto بشن هجمات سيبرانية متقدمة منذ عام 2007 على الأقل، مستهدفةً بشكل تقليدي الوكالات الحكومية والهيئات الدبلوماسية والمؤسسات البحثية. وقد اختفت المجموعة من المشهد الأمني بعد عام 2014، مما أثار تساؤلات حول مستقبل أنشطتها.
ومع ذلك، أكدت التحقيقات التفصيلية في مجموعات هجومية حديثة أن المجموعة عادت بكامل نشاطها. وقد رصد محللون وخبراء في مجال الأمن السيبراني حملات حديثة للمجموعة، مع أدلة ملحوظة على هجمات استهدفت منظمة في أمريكا اللاتينية خلال عام 2022.
عودة مجموعة Careto بأساليب مبتكرة
ما يجعل عودة هذه المجموعة مثيرة للقلق بشكل خاص هو نهجها المصقول في اختراق الشبكات والسيطرة عليها. كشفت الأبحاث عن ثغرات جديدة في برامج وأنظمة تقنية شائعة، مما سمح للمهاجمين بتنفيذ هجمات أكثر دقة.
تُظهر طريقة الإصابة الجديدة للمجموعة تحولاً نحو استهداف البنية التحتية للبريد الإلكتروني. عند اختراق شبكة الضحية، حصل المهاجمون على وصول إلى خادم البريد الإلكتروني MDaemon، وهو مركز اتصال حيوي للعديد من المؤسسات.
بدلاً من نشر برامج ضارة واضحة، استخدمت Careto تقنية استدامة خبيثة بالاعتماد على مكون WorldClient الخاص بـ MDaemon، والذي يسمح بتحميل ملحقات مخصصة. وقام المهاجمون بتجميع ملحق خبيث وتعديل ملف الإعداد WorldClient.ini.
أضافوا إدخالات وجهت طلبات HTTP إلى رمزهم المخصص، مما سمح لهم بالتفاعل مع الملحق عبر حركة مرور البريد الإلكتروني العادية. أثبتت هذه التقنية فعاليتها بشكل ملحوظ لأنها اندمجت مع عمليات البريد الإلكتروني الشرعية.
استغلال WorldClient وتقنية FakeHMP
من هذه النقطة، نجحت Careto في نشر برمجية خبيثة غير معروفة سابقاً أطلق عليها اسم FakeHMP عبر الشبكة، مستخدمةً استراتيجية حركة جانبية متطورة. استغلت المجموعة برامج تشغيل النظام الشرعية، خاصة برنامج تشغيل HitmanPro Alert (hmpalert.sys)، لحقن التعليمات البرمجية الخبيثة في عمليات Windows ذات الامتيازات العالية.
تم تزويد برمجية FakeHMP المهاجمين بقدرات مراقبة شاملة. شملت هذه الإمكانيات تسجيل ضغطات المفاتيح، والتقاط لقطات الشاشة، واسترجاع الملفات، ونشر حمولات إضافية. هذه القدرات تجعل من FakeHMP أداة قوية للتجسس وسرقة المعلومات.
تُظهر هذه العودة أن مجموعة Careto لا تزال تشكل تهديداً لا يستهان به. تجمع المجموعة بين عقود من الخبرة التشغيلية وطرق إصابة مبتكرة تستغل مكونات البرامج الشرعية لتحقيق أقصى قدر من التخفي والاستدامة. يبقى رصد ومواجهة هذه التهديدات أمراً بالغ الأهمية لضمان الأمن السيبراني.