A new espionage campaign by the InvisiMole group has led ESET researchers to discover their hidden tools and a strategic collaboration with the Gamaredon group
I ricercatori di ESET, leader globale nel mercato della cybersecurity, durante l’analisi di un nuovo attacco proveniente dal gruppo InvisiMole, segnalato per la prima volta proprio da ESET nel 2018, hanno scoperto gli strumenti utilizzati dall’organizzazione e altri dettagli prima sconosciuti circa il loro modus operandi. I risultati derivano da un’indagine condotta congiuntamente con le vittime dall’attacco. In questa nuova campagna, il gruppo InvisiMole si è dotato di nuovi strumenti per colpire organizzazioni di alto profilo nel settore militare e diplomatico dell’Europa dell’est. Secondo la telemetria ESET i cyberattacchi si sono verificati a partire dalla fine del 2019 fino a fine giugno.
InvisiMole, noto dal 2013, è stato documentato per la prima volta da ESET in relazione ad operazioni di cyberspionaggio mirate in Ucraina e Russia, tramite l’utilizzo di due backdoor molto complesse.
“All’epoca abbiamo identificato queste backdoor decisamente avanzate, ma mancava un quadro d’insieme: non sapevamo come fossero state inserite nel sistema”, ha spiegato Zuzana Hromcová, la ricercatrice di ESET che ha analizzato InvisiMole.
Grazie all’analisi degli attacchi, eseguita in collaborazione con le organizzazioni colpite, gli analisti di ESET hanno avuto la possibilità di effettuare un’indagine approfondita delle tecniche utilizzate dagli hacker. “Abbiamo potuto documentare l’ampio set di strumenti che sono stati utilizzati per l’utilizzo delle backdoor di InvisiMole”, ha affermato Anton Cherepanov, l’analista malware di ESET che ha condotto l’indagine.
Uno dei risultati più importanti dell’indagine riguarda la collaborazione del gruppo InvisiMole con un altro gruppo di cybercriminali, Gamaredon. ESET ha scoperto che quest’ultimo svolge la funzione di apripista, infiltrandosi nella rete delle vittime e ottenendo privilegi amministrativi per poi cedere il passo a InvisiMole.
“La nostra indagine rileva che le vittime designate sono state attaccate prima da un malware piuttosto comune come Gamaredon, cui poi subentra InvisiMole con tecniche sofisticate per evitare il rilevamento”, ha aggiunto Hromcová di ESET.
Per rimanere fuori dalla portata dei sistemi di controllo, InvisiMole, secondo ESET, utilizza 4 diverse tecniche di attacco, combinando shellcode dannoso con tools autorizzati e programmi eseguibili vulnerabili. Il malware viene codificato con un sistema di crittografia simmetrica direttamente sul computer della vittima, e può essere decrittato ed eseguito solo su quel computer.
Il malware dispone, inoltre, di un sistema di comunicazione che sfrutta il tunneling DNS e che permette di inviare e ricevere informazioni senza allertare i sistemi di controllo.
Analizzando i nuovi strumenti utilizzati dal gruppo, gli analisti hanno rilevato sostanziali miglioramenti rispetto alle versioni prese in esame in precedenza. “Con queste nuove informazioni, saremo in grado di monitorare ancora più efficacemente le attività illecite del gruppo”, ha concluso Hromcová di ESET.
More information on the InvisiMole survey in the white paper "InvisiMole: The hidden part of the story”.
