InvisiMole атакует военные и дипломатические организации в Восточной Европе

InvisiMole атакует военные и дипломатические организации в Восточной Европе

Группировка InvisiMole была обнаружена только в 2018 году, хотя атаковала организации в России и Украине еще в 2013 году.

image

Исследователи безопасности рассказали о деятельности неуловимой киберпреступной группировки, атакующей военные и дипломатические организации в странах Восточной Европы с целью шпионажа.

Группировка InvisiMole была обнаружена только в 2018 году, хотя атаковала организации в России и Украине с целью кибершпионажа еще в 2013 году. На некоторое время злоумышленники исчезли с радаров, но недавно вернулись снова с обновленным хакерским арсеналом и новыми тактиками.

Вредоносное ПО InvisiMole имеет модульную архитектуру и состоит из «обложки» в виде DLL-библиотеки и двух шпионских бэкдоров RC2FM и RC2CL. Бэкдоры могут вносить изменения в систему, сканировать беспроводные сети для определения местоположения пользователей, собирать пользовательскую информацию, выгружать со скомпрометированного компьютера чувствительные файлы и пр. Долгое время исследователям не удавалось установить механизм доставки вредоносного ПО на целевые системы, но теперь он стал ясен.

Специалисты компании ESET обнаружили , что для проведения вредоносных операций злоумышленники использовали подручные легитимные приложения. Кроме того, специалисты выявили связь с киберпреступной группировкой Gamaredon, известной своими атаками на украинские организации.

Вредоносное ПО Gamaredon использовалось для доставки на целевую систему гораздо более незаметной полезной нагрузки. По данным ESET, жертвы Gamaredon были «обновлены» до вредоносного ПО InvisiMole.

После первоначальной компрометации группировка эксплуатирует уязвимости BlueKeep ( CVE-2019-0708 ) и EternalBlue (CVE-2017-0144) в протоколах RDP и SMB или использует вредоносные документы и установщики ПО для бокового передвижения по сети.

В дополнение к обновленным бэкдорам RC2FM и RC2CL киберпреступники начали использовать TCS-загрузчик для загрузки дополнительных модулей и DNS-загрузчик для создания DNS-туннеля с целью замаскировать связь с C&C-сервером. Бэкдоры доставляются на целевую систему через четыре разных цепочки исполнения, объединяющих вредоносные shell-коды, легитимные инструменты и уязвимые исполняемые файлы. Более того, обновленные версии RC2FM и RC2CL могут обходить антивирусное ПО, в частности путем внедрения в легитимные процессы и подавления некоторых своих функций.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.