Tijdens het onderzoek naar een nieuwe campagne van 'InvisiMole', een aanvallersgroepering waar onderzoekers voor het eerst verslag van deed in 2018, hebben onderzoekers de bijgewerkte toolset van de groep en de tot dan toe onbekende details over de werking ervan aan het licht gebracht.
De bevindingen komen voort uit een gezamenlijk onderzoek met de gedupeerde organisaties. In haar nieuwe campagne kwam de InvisiMole-groep opnieuw naar voren met een bijgewerkte toolset, gericht op enkele spraakmakende organisaties in de militaire sector en diplomatieke missies, beide in Oost-Europa. Volgens telemetrie vonden de aanvalspogingen plaats van eind 2019 tot ten minste juni 2020 – het moment dat onderzoekers hun bevindingen publiceerde.
Cyberspionage operaties
InvisiMole, actief sinds in ieder geval 2013, werd voor het eerst gedocumenteerd in verband met gerichte cyberspionage operaties in Oekraïne en Rusland waarbij zij met behulp van twee krachtige backdoors slachtoffers bespioneerden.
“Destijds vonden we de verrassend goed uitgeruste backdoors al, maar misten wij een groot deel van het totaalplaatje – we wisten niet hoe ze geleverd, verspreid en geïnstalleerd werden op het systeem", verklaart Zuzana Hromcová, één van de onderzoekers die InvisiMole analyseerde.
Door het onderzoek naar de aanvallen uit te voeren in samenwerking met de getroffen organisaties kregen de onderzoekers de kans om een kijkje te nemen achter de schermen van de aanvallen van InvisiMole. “We waren in staat om de uitgebreide toolset te documenteren die werd gebruikt voor de levering, verspreiding en uitvoering van InvisiMoles backdoors,” zegt Anton Cherepanov, malware onderzoeker en leider van dit onderzoek.
Samenwerking van hacker groeperingen
Eén van de belangrijkste bevindingen van het onderzoek betreft de samenwerking van de InvisiMole-groep met een andere groepering, 'Gamaredon'. De onderzoekers ontdekten dat het arsenaal van InvisiMole pas wordt ingezet nadat Gamaredon het netwerk al geïnfiltreerd heeft en mogelijk al administratieve rechten heeft verworven. “Ons onderzoek suggereert dat doelwitten die door de aanvallers als bijzonder belangrijk worden beschouwd, geüpgraded worden van relatief eenvoudige Gamaredon-malware naar de geavanceerde InvisiMole-malware. Een creatieve manier van de InvisiMole-groep om onopgemerkt te opereren,” aldus Hromcová.
Wat betreft het onopgemerkt blijven
Onderzoekers ontdekten dat InvisiMole vier verschillende executie ketens gebruikt die kwaadaardige shellcode combineren met legitieme tools en kwetsbare executables. Om de malware te verbergen voor cybersecurity onderzoekers worden de InvisiMole-componenten per slachtoffer beschermd met encryptie. Hierdoor kan de payload alleen ontcijferd en uitgevoerd worden op de betreffende computer. De bijgewerkte InvisiMole-toolset bevat ook een nieuw component dat gebruik maakt van DNS-tunneling voor sluwere C&C-communicatie.
Bij het analyseren van de bijgewerkte toolset van de groep constateerden de onderzoekers aanzienlijke verbeteringen ten opzichte van eerder geanalyseerde versies. “Met deze nieuwe kennis kunnen we de kwaadaardige activiteiten van de groep nog beter volgen,” besluit Hromcová.
Bron: eset