Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нової активності групи InvisiMole. Завдяки співпраці з постраждалими організаціями дослідникам ESET вдалось проаналізувати оновлений набір шкідливих інструментів, а також виявити невідомі раніше деталі щодо методів роботи групи.
У новій кампанії кіберзлочинці InvisiMole використовували оновлені інструменти, спрямовані на декілька організацій у військовому секторі та дипломатичні представництва у Східній Європі. Відповідно до даних телеметрії ESET, спроби атак тривали з кінця 2019 року та принаймні до червня 2020 року.
Групу кіберзлочинців InvisiMole, яка активна щонайменше з 2013 року, було вперше описано ESET у зв'язку з цілеспрямованими операціями з використанням шпигунського програмного забезпечення в Україні та Росії. Зокрема, зловмисники використовували два багатофункціональних бекдора для шпигування за жертвами. «Тоді ми виявили ці неочікувано потужні бекдори, але значна частина картинки була відсутня — ми не знали, як їх доставляють, поширюють та встановлюють у системі», — пояснює Зузана Хромцова, дослідниця ESET, яка аналізувала InvisiMole.
Завдяки співпраці з постраждалими організаціями дослідники ESET отримали можливість дізнатися деталі операцій InvisiMole. «Нам вдалося зафіксувати значну кількість інструментів, які використовувались для доставки, поширення всередині та виконання бекдора InvisiMole», — розповідає Антон Черепанов, дослідник ESET, який керував розслідуванням.
Одним з головних висновків, які були отримані в ході дослідження, стала співпраця InvisiMole з іншою групою кіберзлочинців — Gamaredon. Дослідники виявили арсенал InvisiMole лише після того, як Gamaredon вже проник у мережу, яка цікавила зловмисників та, можливо, отримав права адміністратора.
«Результати дослідження свідчать про те, що на цілях, які зловмисники вважають особливо важливими, спочатку використовують відносно просте шкідливе програмне забезпечення Gamaredon, а потім переходять до більш складної та сучасноїзагрози InvisiMole. Це дозволяє групі InvisiMole розробити нові способи для уникнення виявлення», — коментує Зузана Хромцова.
Дослідники також виявили, що для уникнення виявлення InvisiMole використовує чотири різні ланцюги виконання, створених шляхом поєднання шкідливого shell-коду із легітимними інструментами та уразливими виконуваними файлами. Щоб приховати шкідливе програмне забезпечення від дослідників з безпеки, компоненти InvisiMole захищені шифруванням, яке є унікальним для кожної жертви та гарантує, що компонент можна розшифрувати та виконати лише на інфікованому комп'ютері. Оновлений набір інструментів InvisiMole також містить новий компонент, який використовує тунелювання DNS для більш стійкого зв'язку з командним сервером (C&C).
Аналізуючи оновлений набір інструментів групи, дослідники зафіксували значні удосконалення порівняно з версіями, які були проаналізовані раніше. «Завдяки новим знанням ми зможемо ще більш уважно відслідковувати дії групи», — підсумовує Зузана Хромцова.
Детальніше про InvisiMole читайте у дослідженні, доступному за посиланням.