标题：沉寂十年后，传奇APT组织“面具”（Careto）卷土重来：新攻击手法曝光

信息来源：Careto APT’s recent attacks discovered | Securelist （2024.12.12）

在网络安全领域，有些名字如同传说——一旦出现，便意味着高精度、高隐蔽性和国家级别的攻击水平。其中之一，便是被称为 “The Mask”（面具） 的APT组织，也广为人知的代号为 Careto。自2014年卡巴斯基首次披露其活动后，该组织仿佛人间蒸发，长达十年未见踪迹。然而，2024年10月，在第34届Virus Bulletin国际安全会议上，卡巴斯基研究人员带来重磅消息：Careto回来了，并以更加隐蔽和创新的手法重新活跃于全球网络攻击舞台。

一、“面具”归来：从沉默到精准打击

根据卡巴斯基最新研究，他们已以中高置信度确认，自2019年起，一系列高度针对性的网络攻击背后，正是当年那个神秘的Careto组织。这些攻击主要针对拉丁美洲某高价值机构，该机构早在2007–2013年期间就曾被Careto入侵，2019年再次中招，而2022年又一次落入同一组织的攻击链条中。

这不仅是一次简单的“回归”，更是一场持续多年的潜伏与演进。攻击者并未更换目标，而是对同一组织进行了多轮渗透，显示出极强的战略耐心和资源掌控能力。

二、创新持久化：利用MDaemon邮件服务器植入后门

在2022年的攻击中，Careto展现了一种前所未见的持久化技术——通过MDaemon邮件服务器的Web组件WorldClient实现长期驻留。

MDaemon是一款企业级邮件服务器软件，其WorldClient组件支持通过INI配置文件加载自定义扩展（DLL），用于处理特定HTTP请求。攻击者正是利用了这一合法机制：

• 修改 WorldClient.ini 文件，添加恶意扩展条目；
• 配置 CgiBase 和 CgiFile 参数，将特定URL路径（如 /WorldClient/mailbox）指向恶意DLL；
• 一旦配置完成，攻击者即可通过发送HTTP请求与后门通信，绕过传统防火墙检测。

这种手法巧妙地将恶意代码“伪装”成邮件系统的正常功能，极大提升了隐蔽性，也显示出攻击者对目标系统架构的深度了解。

三、横向移动新策略：滥用合法驱动实现权限提升

在成功立足后，Careto开始在内网横向移动。他们使用了一套精心设计的四文件组合：

1. hmpalert.sys：合法的HitmanPro Alert反恶意软件驱动；
2. 恶意DLL：伪装成 hmpalert.dll，存放于系统目录；
3. 批处理脚本（~dfae01202c5f0dba42.cmd）：负责部署驱动和DLL；
4. XML任务配置文件（Tpm-HASCertRetr.xml）：用于创建计划任务。

攻击者通过计划任务加载合法驱动，而该驱动在启动时会自动加载同名DLL。由于未验证DLL签名，攻击者得以将恶意代码注入 winlogon.exe、dwm.exe等高权限进程，实现内核级持久化控制。

更值得注意的是，在2024年的一次攻击中，攻击者甚至弃用计划任务，转而利用Google Updater机制进行投递，进一步规避检测，显示出其技术栈的持续进化。

四、新植入工具曝光：FakeHMP与Goreto框架

本次发现中，研究人员识别出多个新型恶意组件，其中最引人注目的是：

1. FakeHMP（伪装型HitmanPro后门）

• 功能包括：文件窃取、键盘记录、屏幕截图、远程命令执行；
• 可动态加载额外载荷，具备模块化特征；
• 通过合法驱动加载，实现“白加黑”攻击。

2. Careto2（新一代主控框架）

• 使用虚拟文件系统（C_12058.NLS）存储加密插件；
• 插件名称为DJB2哈希值，经破解后还原出如 ConfigMgr.dll、FileFilter.dll、Kodak.dll（截图模块）等；
• 持久化方式为COM劫持，利用特定CLSID实现自启动。

3. Goreto（Go语言编写的轻量级工具集）

• 攻击者用Go编写，跨平台适应性强；
• 命令与控制（C2）通过Google Drive实现，指令加密存储；
• 支持文件上传下载、远程命令执行、键盘记录等功能；
• 数据外泄直接上传至攻击者控制的云盘，极难追踪。

五、归因分析：从文件名到TTPs的“DNA匹配”

尽管Careto长期隐匿，但其“数字指纹”依然清晰可辨。研究人员通过以下线索确认其身份：

• 文件命名习惯高度一致：
• 2007–2013年使用 ~df01ac74d8be15ee01.tmp；
• 2019年出现 ~dfae01202c5f0dba42.cmd，结构几乎相同；
• 插件命名逻辑延续：
• 旧版模块 FileFlt → 新版 FileFilter；
• Storage 模块名称完全一致；
• TTPs（战术、技术与程序）高度重合：
• 虚拟文件系统存储插件；
• COM劫持实现持久化；
• 利用云存储（OneDrive/Google Drive）进行C2通信。

这些细节如同“数字DNA”，构成了强有力的归因证据链。

六、启示与防御建议

Careto的回归提醒我们：高级持续性威胁从未消失，只是更加隐蔽。其十年磨一剑的技术积累，展示了国家级黑客组织的长期战略能力。

企业应重点关注以下防御措施：

1. 加强对合法软件组件的监控：如MDaemon、第三方驱动等，防止被滥用为后门载体；
2. 限制驱动加载权限：启用驱动签名强制策略（Secure Boot + Driver Signature Enforcement）；
3. 监控异常计划任务与COM注册表项：尤其是非标准路径下的脚本执行；
4. 检测云存储异常访问行为：对OneDrive、Google Drive等API调用进行审计；
5. 强化邮件服务器安全配置：定期审查Web组件扩展与配置文件完整性。

结语

Careto的回归，不仅是技术的复现，更是一次攻击哲学的升级：从零日漏洞到合法工具滥用，从本地渗透到云端指挥，它正在重新定义高级威胁的边界。对于安全从业者而言，这既是一次警钟，也是一次学习机会——唯有持续追踪、深入分析，才能在这场无声的战争中保持领先。

“他们回来了，而且比以往更聪明。”
——来自卡巴斯基实验室的无声警告