Az ESET kutatói feltérképezték az InvisiMole csoport működését
2020. július 2.
Az InvisiMole új kampányát vizsgálva az ESET kutatóinak sikerült feltárniuk a csoport frissített eszközkészletét, valamint a Gamaredon hackercsoporttal való szoros együttműködésük részleteit is. Az InvisiMole csoport elsősorban magas szintű katonai és diplomáciai szervezeteket célzott meg Kelet-Európában, azonban a Gamaredon csoporttal történő együttműködés révén mindez idővel az üzleti felhasználók, vállalatok számára is veszélyes lehet. Az ESET telemetriai adatai szerint a támadási kísérletek 2019 végétől legalább 2020 júniusáig tartottak, amikor az ESET kutatói közzétették a vizsgálatok eredményeit.
A legalább 2013 óta aktív InvisiMole csoport tevékenységéről elsőként az ESET számolt be, néhány ukrajnai és orosz kiberkémkedési esettel kapcsolatban, ahol kétfunkciós backdoor programokkal kutakodtak az áldozatok után. „Akkoriban megtaláltuk ugyan a meglepően jól felszerelt backdoor (hátsóajtó, azaz illetéktelenek számára észrevétlen távoli bejutást, elérést biztosító kártékony kód) programokat, azonban a kép eddig hiányos volt – nem tudtuk, hogyan terjesztették és juttatták el az áldozatok gépére a kártevőket, illetve miként telepítették ezeket” – mondta Zuzana Hromcová, az ESET kutatója.
A támadásban érintett szervezetekkel történő együttműködés során az ESET kutatói most lehetőséget kaptak arra, hogy alaposabban megvizsgálják az InvisiMole működését. "Végre dokumentálni tudtuk az InvisiMole a backdoor programok kézbesítéséhez, mozgatásához és elindításához használt kiterjedt eszközkészletet" - mondta a vizsgálatot vezető Anton Cherepanov, az ESET vezető biztonsági kutatója.
A vizsgálat egyik legjelentősebb megállapítása, hogy fény derült az InvisiMole és egyik másik ismert hackercsoport, a Gamaredon együttműködésére. A Gamaredon a Microsoft Outlook programot támadva adathalász leveleket küld a kontaktlistában található címekre, és kártevőkkel fertőzi meg a Microsoft Office dokumentumokat. A kutatók felfedezték, hogy az InvisiMole arzenálja csak akkor lép működésbe, ha a Gamaredon már bejutott az áldozatok hálózatába, és azon belül adminisztrátori jogosultságokat is szerzett.
„Az eredmények azt sugallják, hogy a támadók által különösen jelentősnek tartott célpontok esetében a viszonylag egyszerű Gamaredon kártevőket a fejlett InvisiMole programok váltják. Ez lehetővé teszi az InvisiMole csoport számára, hogy kreatív módszereket kidolgozva maradjon észrevétlen” - tette hozzá Hromcová.
Az észrevétlen működéssel kapcsolatban a kutatók azt találták, hogy az InvisiMole négy különféle végrehajtási láncot használ, amelyeket úgy alakítottak ki, hogy a rosszindulatú kódot legális eszközökkel és futtatható fájlokkal kombinálják. A rosszindulatú programok elrejtésének érdekében az InvisiMole összetevőit az áldozatokhoz köthető egyedi titkosítással védik, így az állományokat csak az érintett számítógépen lehet visszafejteni és futtatni. A frissített InvisiMole eszközkészlet emellett tartalmaz egy új komponenst is, amely az úgynevezett DNS tunnel technikát használja a rejtett C&C (command-and-control, a támadó fél vezérlő és kommunikáció szervere) kommunikációhoz.
A Gamaredon .NET downloader „frissíti” az áldozatok gépét az InvisiMole TCP letöltő programjára
Az ESET szakemberei 3 konkrét módszert találtak az InvisiMole terjesztésére a fertőzött hálózatokban:
- A BlueKeep sebezhetőség révén RDP protokolban (CVE-2019-0708),
- az EternalBlue sebezhetőségen keresztül az SMB protokolban (CVE-2017-0144),
- valamint a trójai programokkal fertőzött dokumentumok és szoftvertelepítők segítségével, amelyeket a támadni kívánt szervezetektől ellopott jóindulatú fájlok alapján fejlesztettek.
A csoport frissített eszközkészletét elemezve az ESET kutatói jelentős fejlődést tapasztaltak a korábbi verziókhoz képest, amelyet nem csak katonai vagy diplomáciai, hanem üzleti hírszerzésre is felhasználhatnak a későbbiekben. "Ezzel az új tudással még szorosabban nyomon követhetjük a csoport rosszindulatú tevékenységeit a jövőben" - mondta Hromcová.
Az alaposabb vizsgálatokban rengeteg fertőzött gépet is találtak, amelyeken már több mint nyolcezer dokumentumot készítettek elő ellopásra. Ezek kiszivárgása egy cég életében hatalmas károkat okozhat. Mivel az InvisiMole a céges, vállalati felhasználók számára kifejezetten komoly fenyegetést jelent, ezért érdemes egyrészt a fertőzési vektorok elleni védekezésként frissíteni, és naprakészen tartani a vállalati rendszereket, hiszen mind a BlueKeep, mind az EternalBlue sérülékenység ellen már évek óta letölthető a hibajavítás. Természetesen a naprakész vírusvédelem mellett az ebben az incidensben is érintett Office programok rendszeres hibajavító frissítése is kiemelten fontos.
Emellett megkerülhetetlen a rendszeres céges biztonságtudatossági képzések és a vállalati hálózatok biztonságos beállításának témaköre is, hiszen a feleslegesen nyitott portok, nyitva hagyott RPD kapcsolat, illetve a felhasználók óvatlansága miatt megnyitott kéretlen levélmellékletek, lekattintott rosszindulatú link hivatkozások is komoly fenyegetést, veszélyt jelenthetnek.
Az InvisiMole legújabb eszközkészletének részletesebb elemzése a WeLiveSecurity oldalon található háttéranyagban olvasható.
Kapcsolódó cikkek
- Végpontvédelem területén első az ESET
- Az ESET az egyetlen kihívó a végpontvédelem területén
- Windows rendszerek elleni új támadást fedeztek fel az ESET szakértői
- Milyen szolgáltatások kaphatók az internet sötét oldalán és mennyit kell fizetni értük?
- Kiberbűnözés a dark weben
- Hogyan tudhatjuk meg, hogy ellopták-e jelszavainkat és mit tehetünk az adatlopások ellen?
- Mit tegyen az, akinek ellopták a jelszavait?
- Az e-mailek védelme nem ér véget egy erős jelszónál
- 773 millió e-mailcím került illetéktelen kezekbe - az ESET felkészít a védekezésre
- ESET kiberbiztonsági előrejelzés – 2019-ben sem csökken majd a cryptojacking támadások száma