InvisiMole atacă organizații militare și diplomatice din estul Europei

Gruparea InvisiMole a fost descoperită abia în anul 2018, deși a atacat organizații ucrainene încă din 2013.

Experții companiei ESET au explicat care este modus operandi al acestei discrete grupări de criminalitate cibernetică, specializată în atacarea organizațiilor militare și diplomatice est-europene. Astfel, InvisiMole a fost descoperită abia în anul 2018, deși atacurile sale asupra organizațiilor ucrainene datau încă din 2013. Pentru o perioadă, atacatorii au dispărut, dar recent aceștia s-au întors, cu arsenalul “la zi” și cu o tactică înnoită.

Potrivit ESET, programul malițios InvisiMole are o arhitectură modulară și constă dintr-o “copertă” sub forma unei biblioteci DLL și a două backdoor, RC2FM și RC2CL. Backdoor-urile pot face modificări în sistem, scana rețele wireless pentru a localiza utilizatorii, colecta informații despre aceștia, descărca fișiere sensibile de pe computerul compromis, etc.

Multă vreme, cercetătorii nu au putut stabili mecanismul prin care programul malițios ajungea la țintă. Specialiștii ESET au descoperit că atacatorii foloseau aplicații legitime aflate la îndemână. În plus, experții au descoperit legături ale InvisiMole cu gruparea Gamaredon (aka Primitive Bear), cunoscută în special pentru atacurile sale asupra organizațiilor ucrainene.

Astfel, Gamaredon poate transporta către sistemul țintă programul malițios InvisiMole. Potrivit ESET, victimele Gamaredon erau “updatate” cu… InvisiMole. După compromiterea inițială a sistemului, InvisiMole trece la exploatarea de vulnerabilități precum BlueKeep (CVE-2019-0708) și EternalBlue (CVE-2017-0144) în protocoale RDP și SMB sau folosește documente și installere malițioase pentru deplasare laterală în rețea.

In completare la backdoor-urile updatate RC2FM și RC2CL, cybercriminalii au început să folosească downloaderul TCS pentru a încărca module suplimentare și downloaderul DNS pentru crearea unui tunel DNS cu scopul de a masca conexiunea cu serverul C&C.

Backdoor-urile sunt livrate către sistemul targetat prin intermediul a patru lanțuri de execuție diferite, combinând coduri shell malițioase, instrumente legitime și fișiere executabile vulnerabile. Mai mult, versiuni actualizate de RC2FM și RC2CL pot ocoli software-urile antivirus, în special prin introducerea lor în procesele legitime din sistem și suprimarea unora dintre propriile funcții, precum cea de keyloggin .

Conform enciclopediei cibernetice Malpedia, un backdoor precum InvisiMole reprezintă un program cibernetic maliţios utilizat pentru a oferi acces de la distanţă pe un sistem compromis, exploatând vulnerabilităţi de securitate. Acesta lucrează în fundal şi se ascunde de utilizator. Este foarte similar cu alţi viruşi de tip malware, prin urmare destul de dificil de detectat. Un backdoor oferă unei entități maliţioase posibilitatea de a efectua acţiuni într-un calculator compromis. Reprezintă o combinaţie de diferite ameninţări de confidenţialitate şi securitate, care lucrează pe cont propriu şi nu necesită control. Backdoor-urile nu sunt capabile să se autopropage, majoritatea acestora fiind instalate la pachet cu un alte software-uri.

Sursa: https://www.securitylab.ru/news/509315.php

Leave a Reply

Your email address will not be published. Required fields are marked *