Informações detalhadas sobre as operações e métodos do grupo de espionagem InvisiMole foram reveladas pela ESET após investigação de uma nova campanha voltada para organizações de alto nível, principalmente aquelas com sede no Leste Europeu. Nesta campanha, o grupo alvejou uma série de organismos militares e diplomáticos de alto perfil, do fim de 2019 até pelo menos este mês.
Os pesquisadores da ESET descobriram que o InvisiMole colaborou com outro operador de ameaças cibernéticas, o Gamaredon, para ajudá-lo a realizar ataques em massa. O Gamaredon teria com incumbência se infiltrar na rede de interesse, potencialmente ganhando privilégios administrativos, antes que de o InvisiMole instalar o malware.
“Nossa pesquisa sugere que os alvos considerados particularmente significativos pelos atacantes sejam atualizados de um malware relativamente simples do Gamaredon para um malware avançado do InvisiMole. Isso permite que este grupo desenvolva maneiras criativas de operar”, disse a pesquisadora da ESET, Zuzana Hromcová, em um post no site da empresa de segurança cibernética.
Veja isso
Grupo hacker chinês atualiza kit de malware para espionagem
Campanha de espionagem explora Google Play para distribuir malware
A equipe de pesquisadores também descobriu quatro cadeias de execução diferentes que o InvisiMole usa, criadas pela combinação de códigos de shell maliciosos com ferramentas legítimas e executáveis vulneráveis. O malware do grupo pode permanecer oculto, protegendo os componentes com criptografia, o que significa que a carga só pode ser descriptografada e executada no computador afetado. Observou-se também que o InvisiMole possui um novo componente que usa o encapsulamento de DNS (sistema de nomes de domínio) para uma comunicação de comando e controle (C&C) mais furtiva.
“Conseguimos documentar o extenso conjunto de ferramentas usado para entrega, movimento lateral e execução das backdoors [portas dos fundos] do InvisiMole”, observou Anton Cherepanov, pesquisador de malware da ESET que liderou a investigação.
O InvisiMole é considerado ativo desde pelo menos 2013 e está conectado a campanhas de espionagem cibernética na Ucrânia e na Rússia, incluindo espionagem de vítimas usando duas backdoors ricas em recursos. A nova análise destaca como o grupo melhorou significativamente suas habilidades para conduzir espionagem cibernética.
Zuzana Hromcová acrescenta que com esse novo conhecimento, os pesquisadores da empresa poderão acompanhar as atividades maliciosas do grupo ainda mais de perto.
