После 10 лет затишья кибербандиты нацелились на Африку и Латинскую Америку.
Группа кибершпионов «Careto», также известная как «The Mask», вновь заявила о себе, возобновив свою активность после десятилетнего перерыва. Они начали свои операции в 2007 году и исчезли в 2013 году, за это время поразив 380 уникальных целей в 31 стране, включая США, Великобританию, Францию, Германию, Китай и Бразилию.
По данным исследователей «Лаборатории Касперского», которые отслеживали деятельность Careto десять лет назад и недавно снова обнаружили атаки этой группы, киберпреступники активизировалась, нацелившись на организации в Латинской Америке и Центральной Африке.
В новой кампании хакеры стремились украсть конфиденциальные документы, данные форм автозаполнения, историю входов в систему и cookie-файлы из браузеров Chrome, Edge, Firefox и Opera. Также злоумышленники были нацелены на cookie-файлы из мессенджеров, таких как WhatsApp, WeChat и Threema.
Георгий Кучерин, исследователь безопасности в «Лаборатории Касперского», отмечает: «Мы смогли обнаружить последние кампании Careto благодаря нашим знаниям о предыдущих кампаниях, организованных группировкой, а также признакам компрометации, обнаруженным в ходе расследования этих кампаний»
Особенностью новых атак является использование злоумышленниками собственных техник для взлома сетей организаций. Начальный доступ был получен через сервер электронной почты MDaemon, после чего на сервер был установлен бэкдор, позволяющий хакерам контролировать сеть. Кроме того, для поддержания доступа использовался драйвер, связанный со сканером вредоносных программ HitmanPro Alert.
В рамках атаки Careto использовала ранее неизвестную уязвимость в одном из продуктов безопасности, чтобы распространить четыре многомодульных имплантата по сетям каждой жертвы. Имплантаты, получившие названия «FakeHMP», «Careto2», «Goreto» и «MDaemon implant», позволяли выполнять различные злонамеренные действия, включая перехват звука с микрофона, кейлоггинг, кражу конфиденциальных документов и данных для входа.
Эти сложные многомодальные инструменты, как отмечает Кучерин, свидетельствуют о высоком уровне операций, проводимых группировкой.
В своём отчёте за первый квартал 2024 года «Лаборатория Касперского» также упоминает другие APT-группы, включая «Gelsemium», которая ранее использовала серверные эксплойты для установки веб-оболочек и множества пользовательских инструментов в организациях Палестины, а с недавних пор — Таджикистана и Кыргызстана.
Приватность — это право, а не роскошь.
Подпишитесь на наш канал и защитите свои права
Зеркала сайта Kraken в даркнете предоставляют пользователям доступ к платформе анонимных покупок, когда основной адрес недоступен. Однако, как и с любым ресурсом в даркнете, важно быть осторожными, использовать проверенные ссылки и знать о возможных рисках. Обеспечение безопасности и анонимности — ключевые моменты при использовании таких платформ.
Как пользоваться зеркалом Kraken:
-
Установите Tor: Чтобы получить доступ к зеркалу, пользователям необходимо установить Tor-браузер, который обеспечивает анонимное соединение и защиту данных.
-
Используйте VPN: Рекомендуется использовать VPN для дополнительной безопасности, так как это помогает скрыть ваш реальный IP-адрес.
-
Ищите актуальные ссылки: Поскольку зеркала могут изменяться, важно искать проверенные и актуальные ссылки. Вы можете получить их из надежных источников или сообществ, которые обсуждают даркнет.
-
Проверка безопасности: Прежде чем вводить свои данные или совершать сделки, убедитесь, что вы находитесь на безопасном зеркале. Это можно сделать, проверив отзывы и репутацию сайта.
