Os investigadores da Kaspersky descobriram duas novas campanhas maliciosas, operadas pelo famoso grupo Careto, um grupo de Ameaças Persistentes Avançadas (APT), que tinha aparecido pela última vez em 2013. Demonstrando um nível de sofisticação notavelmente elevado, os atores conduziram duas campanhas de ciberespionagem complexas utilizando uma estrutura multimodal que permite a gravação da entrada do microfone, o roubo de uma vasta gama de ficheiros e dados e a obtenção de controlo geral de um dispositivo infectado. As campanhas visavam organizações localizadas na América Latina e na África Central.
O Careto, um grupo de Ameaças Persistentes Avançadas (APT), é conhecido pelos seus ataques altamente sofisticados que visam atacar organizações governamentais, entidades diplomáticas, empresas de energia e instituições de investigação. A actividade deste grupo foi registada entre os anos 2007 até 2013, e desde esse ano que não havia notícias sobre a actividade deste grupo. No relatório trimestral da Kaspersky sobre as tendências de APT, os investigadores estão a revelar os detalhes por detrás das recentes campanhas maliciosas executadas pelo grupo Careto e que indicam o regresso da sua actividade cibercriminosa.
O vector inicial de infecção comprometido foi o servidor de email da organização, que estava a executar o software MDaemon. Este servidor foi infectado com uma backdoor distinta, concedendo ao atacante o controlo total da rede. Para se propagar na rede interna, este grupo explorou uma falha não identificada numa solução de segurança, permitindo a distribuição de implantes maliciosos em várias máquinas. O atacante implantou quatro implantes sofisticados e multimodelares, concebidos por profissionais especializados para um impacto volumétrico.
Enquanto estrutura multimodal, o malware inclui funcionalidades como um gravador de microfone e um file stealer, com o objectivo de recolher a configuração do sistema, os nomes de início de sessão, passwords, caminhos para os directórios na máquina local e muito mais. Observou-se que os operadores estavam particularmente interessados nos documentos confidenciais da organização, nos cookies, no histórico de formulários e nos dados de início de sessão dos navegadores Edge, Chrome, Firefox e Opera, bem como nos cookies dos mensageiros Threema, WeChat e WhatsApp.
De acordo com a visibilidade da Kaspersky, as vítimas visadas pelos implantes Careto, neste mais recente ataque, pertencem a uma organização localizada na África Central e na América Latina, sendo que esta já tinha sido comprometida anteriormente, no ano de 2022, 2019 e 10 anos antes.
«Ao longo dos anos, o grupo Careto tem vindo a desenvolver malware que demonstra um nível de complexidade notavelmente elevado. Os implantes recém-descobertos são estruturas multimodais, com tácticas e técnicas de implementação que são únicas e sofisticadas. A sua presença indica a natureza avançada das operações do Careto. Continuaremos a monitorizar de perto as actividades deste actor de ameaças, uma vez que esperamos que o malware descoberto seja utilizado em futuros ataques executados pelo grupo Careto», sublinha Georgy Kucherin, Investigador de Segurança na GReAT na Kaspersky.
Os investigadores da Kaspersky descobrem continuamente novas ferramentas, técnicas e campanhas lançadas por grupos APT em ciberataques em todo o mundo. Os especialistas da empresa monitorizam mais de 900 operações e grupos, sendo que 90% estão relacionados com espionagem. A campanha Careto é descrita no último ‘APT Q1 trend report’ realizado pela Kaspersky. Para saber mais sobre outras campanhas avançadas, visite o website Securelist.com. Mais pormenores sobre o regresso do grupo Careto serão revelados na próxima conferência Virus Bulletin.
