卡巴斯基研究人员发现两场由臭名昭著的Careto 高级持续性威胁（APT）组织发起的恶意攻击行动，这是该组织自 2013 年以来的首次活动。这些攻击者展示出高度的复杂性，利用多模式框架开展了两次复杂的网络间谍活动。该框架能够记录麦克风输入内容、窃取各种文件和数据，并对受感染的计算机进行整体控制。这些攻击行动的目标是拉丁美洲和中非地区的组织。

Careto是一个高级持续性威胁（APT）组织，以其高度复杂的攻击而闻名，主要攻击目标为政府组织、外交机构、能源公司和研究机构。该 APT 威胁行为者的活动从 2007 年开始一直持续到 2013 年。值得注意的是，从那时起就再也没有关于这个威胁组织的消息了。在卡巴斯基季度APT趋势报告中，卡巴斯基研究人员揭示了最近这些恶意行动的幕后细节，并认为这些攻击源自Careto。

初始感染是通过入侵组织的邮件服务器来实现的，通常这些服务器运行着MDaemon电子邮件软件。然后，该服务器被感染了一个独特的后门程序，使攻击者能够控制网络。为了在内部网络中传播，威胁行为者利用了一个之前未被发现的安全解决方案中的漏洞，从而能够在多台计算机上秘密分发恶意植入程序。攻击者部署了四个复杂的多模块植入程序，这些植入程序是利用专业技术设计的，可造成大规模影响。

作为一个多模式框架，这种恶意软件具有麦克风录音和文件窃取等功能，旨在收集系统配置、登录名、密码、本地计算机上的目录路径等信息。据观察，操作员对组织的机密文件、cookie、表单历史记录、Edge、Chrome、Firefox 和 Opera 浏览器的登录数据，以及 Threema、微信和 WhatsApp 等聊天工具的 cookies 特别感兴趣。

根据卡巴斯基的可见性，新发现的Careto植入程序所针对的受害者是一家位于拉丁美洲的组织，该组织在2022年、2019年以及10多年前曾受到Careto的入侵，另外还有一个受害者是一家位于中非的组织。

“多年来，Careto 高级持续性威胁（APT）组织一直在开发非常复杂的恶意软件。新发现的植入程序是复杂的多模式框架，其部署策略和技术既独特又复杂。它们的出现表明Careto行动的先进性。我们将继续密切监视这个威胁行为者的活动，因为我们预计这种发现的恶意软件将在未来的Careto攻击中被利用，“卡巴斯基全球研究与分析团队（GReAT）安全研究员Georgy Kucherin评论说。

卡巴斯基研究人员不断发现来自全球各地的APT组织在网络攻击中使用新的工具、技术和活动。该公司的专家监控着 900 多个行动和组织，其中 90% 与间谍活动有关。卡巴斯基最新发布的 APT 第一季度趋势报告对 Careto 活动进行了描述。要了解有关其他高级活动的更多信息，请访问 Securelist.com。

有关 Careto 回归的更多详细信息将在即将举行的病毒公告会议上公布。

为了避免成为已知或未知的威胁行为者发动的针对性攻击的受害者，卡巴斯基研究人员建议采取以下措施：

· 为您的SOC团队提供对最新威胁情报（TI）的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点，提供卡巴斯基超过20年来收集的网络攻击数据以及见解。

· 使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力。

· 为了实现端点级别的检测、响应和及时的事件修复，请部署EDR解决方案，例如卡巴斯基Next。

· 出来采用基础端点保护之外，还应实施企业级安全解决方案，在早期阶段检测网络层面的高级威胁，例如卡巴斯基反针对性攻击平台。