InvisiMole атакует военные и дипломатические организации в Восточной Европе

Чт 18 Июнь 2020 12:54

Исследователи безопасности рассказали о деятельности неуловимой киберпреступной группировки, атакующей военные и дипломатические организации в странах Восточной Европы с целью шпионажа.

Группировка InvisiMole была обнаружена только в 2018 году, хотя атаковала организации в России и Украине с целью кибершпионажа еще в 2013 году. На некоторое время злоумышленники исчезли с радаров, но недавно вернулись снова с обновленным хакерским арсеналом и новыми тактиками.

Вредоносное ПО InvisiMole имеет модульную архитектуру и состоит из «обложки» в виде DLL-библиотеки и двух шпионских бэкдоров RC2FM и RC2CL. Бэкдоры могут вносить изменения в систему, сканировать беспроводные сети для определения местоположения пользователей, собирать пользовательскую информацию, выгружать со скомпрометированного компьютера чувствительные файлы и пр. Долгое время исследователям не удавалось установить механизм доставки вредоносного ПО на целевые системы, но теперь он стал ясен.

Специалисты компании ESET обнаружили , что для проведения вредоносных операций злоумышленники использовали подручные легитимные приложения. Кроме того, специалисты выявили связь с киберпреступной группировкой Gamaredon, известной своими атаками на украинские организации.

Вредоносное ПО Gamaredon использовалось для доставки на целевую систему гораздо более незаметной полезной нагрузки. По данным ESET, жертвы Gamaredon были «обновлены» до вредоносного ПО InvisiMole.

После первоначальной компрометации группировка эксплуатирует уязвимости BlueKeep ( CVE-2019-0708 ) и EternalBlue (CVE-2017-0144) в протоколах RDP и SMB или использует вредоносные документы и установщики ПО для бокового передвижения по сети.

В дополнение к обновленным бэкдорам RC2FM и RC2CL киберпреступники начали использовать TCS-загрузчик для загрузки дополнительных модулей и DNS-загрузчик для создания DNS-туннеля с целью замаскировать связь с C&C-сервером. Бэкдоры доставляются на целевую систему через четыре разных цепочки исполнения, объединяющих вредоносные shell-коды, легитимные инструменты и уязвимые исполняемые файлы. Более того, обновленные версии RC2FM и RC2CL могут обходить антивирусное ПО, в частности путем внедрения в легитимные процессы и подавления некоторых своих функций.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 220 дней 22 часа 45 минут 32 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.