Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении новой активности группы InvisiMole. Благодаря сотрудничеству с пострадавшими организациями исследователям ESET удалось проанализировать обновленный набор вредоносных инструментов, а также выявить неизвестные ранее детали относительно методов работы группы.
В новой кампании киберпреступники InvisiMole использовали обновленные инструменты, направленные на несколько организаций в военном секторе и дипломатические представительства в Восточной Европе. Согласно данным телеметрии ESET, попытки атак продолжались с конца 2019 и по крайней мере до июня 2020 года.
Группу киберпреступников InvisiMole, которая активна по меньшей мере с 2013 года, было впервые описано ESET в связи с целенаправленными операциями с использованием шпионского программного обеспечения в Украине и России. В частности, злоумышленники использовали два многофункциональных бэкдора для шпионажа за жертвами. «Тогда мы обнаружили эти неожиданно мощные бэкдоры, но значительная часть картинки отсутствовала — мы не знали, как их доставляют, распространяют и устанавливают в системе», — объясняет Зузана Хромцова, исследовательница ESET, которая анализировала InvisiMole.
Благодаря сотрудничеству с пострадавшими организациями исследователи ESET получили возможность узнать детали операций InvisiMole. «Нам удалось зафиксировать значительное количество инструментов, которые использовались для доставки, распространения внутри и выполнения бэкдора InvisiMole», — рассказывает Антон Черепанов, исследователь ESET, руководивший расследованием.
Одним из главных выводов, полученных в ходе исследования, стало сотрудничество InvisiMole с другой группой киберпреступников — Gamaredon. Исследователи обнаружили арсенал InvisiMole только после того, как Gamaredon уже проник в сеть, которая интересовала злоумышленников и, возможно, получил права администратора.
«Результаты исследования свидетельствуют о том, что на целях, которые злоумышленники считают особенно важными, сначала используют относительно простое вредоносное программное обеспечение Gamaredon, а затем переходят к более сложной и современной угрозе InvisiMole. Это позволяет группе InvisiMole разработать новые способы, чтобы избежать обнаружения», — комментирует Зузана Хромцов.
Исследователи также обнаружили, что во избежание обнаружения InvisiMole использует четыре различные цепи выполнения, созданные путем объединения вредоносного shell-кода с легитимными инструментами и уязвимыми исполняемыми файлами. Чтобы скрыть вредоносное программное обеспечение от исследователей по безопасности, компоненты InvisiMole защищены шифрованием, которое является уникальным для каждой жертвы и гарантирует, что компонент можно расшифровать и выполнить только на инфицированном компьютере. Обновленный набор инструментов InvisiMole также содержит новый компонент, который использует туннелирование DNS для более устойчивой связи с командным сервером (C&C).
Анализируя обновленный набор инструментов группы, исследователи зафиксировали значительные усовершенствования по сравнению с версиями, которые были проанализированы ранее. «Благодаря новым знаниям мы сможем еще более внимательно отслеживать действия группы», — заключает Зузана Хромцова.
Подробнее о InvisiMole читайте в исследовании, доступном по ссылке.