Investigando uma nova campanha do grupo InvisiMole, um ator de ameaças relatado pela primeira vez pela ESET em 2018, os pesquisadores da ESET descobriram o conjunto de ferramentas atualizado do grupo, além de detalhes anteriormente desconhecidos sobre seu modo de operação. As conclusões surgem de uma investigação colaborativa com as organizações afetadas. Em sua nova campanha, o grupo InvisiMole ressurgiu com um conjunto de ferramentas atualizado, visando algumas organizações de alto nível no setor militar e missões diplomáticas, ambas na Europa Oriental. De acordo com a telemetria da ESET, as tentativas de ataque estavam em andamento do final de 2019 a pelo menos junho de 2020, quando os pesquisadores da ESET publicaram suas descobertas.

 

O InvisiMole, ativo desde pelo menos 2013, foi documentado pela ESET pela primeira vez em conexão com operações direcionadas de ciberespionagem na Ucrânia e na Rússia, usando dois backdoors ricos em recursos para espionar vítimas. “Naquela época, encontramos essas portas traseiras surpreendentemente bem equipadas, mas uma grande parte da imagem estava faltando - não sabíamos como elas foram entregues, distribuídas e instaladas no sistema”, explica Zuzana Hromcová, pesquisadora da ESET que analisou o InvisiMole .

 

Graças à investigação dos ataques em cooperação com as organizações afetadas, os pesquisadores da ESET tiveram a oportunidade de analisar adequadamente as operações do InvisiMole. "Conseguimos documentar o extenso conjunto de ferramentas usado para entrega, movimento lateral e execução dos backdoors do InvisiMole", diz Anton Cherepanov, pesquisador de malware da ESET que liderou a investigação.

 

Uma das principais conclusões da investigação diz respeito à cooperação do grupo InvisiMole com outro grupo de ameaças, Gamaredon. Os pesquisadores descobriram que o arsenal do InvisiMole só é liberado depois que Gamaredon já se infiltrou na rede de interesse e possivelmente ganhou privilégios administrativos. “Nossa pesquisa sugere que os alvos considerados particularmente significativos pelos atacantes são atualizados de um malware relativamente simples do Gamaredon para um malware avançado do InvisiMole. Isso permite que o grupo InvisiMole desenvolva maneiras criativas de operar sob o radar ”, comenta Hromcová.

 

Quanto a permanecer sob o radar, os pesquisadores descobriram que o InvisiMole usa quatro cadeias de execução diferentes, criadas combinando código de shell malicioso com ferramentas legítimas e executáveis vulneráveis. Para ocultar o malware dos pesquisadores de segurança, os componentes do InvisiMole são protegidos com criptografia por vítima, garantindo que a carga só possa ser descriptografada e executada no computador afetado. O conjunto de ferramentas InvisiMole atualizado também apresenta um novo componente que usa o encapsulamento DNS para uma comunicação C&C mais furtiva.

 

Analisando o conjunto de ferramentas atualizado do grupo, os pesquisadores observaram melhorias substanciais em comparação com as versões analisadas anteriormente. "Com esse novo conhecimento, poderemos acompanhar as atividades maliciosas do grupo ainda mais de perto", conclui Hromcová.

 

Para uma análise técnica aprofundada do mais novo conjunto de ferramentas InvisiMole, consulte o white paper "InvisiMole: A parte oculta da história" no WeLiveSecurity.