Az InvisiMole új kampányát vizsgálva az ESET kutatóinak sikerült feltárniuk a csoport frissített eszközkészletét, valamint a Gamaredon hackercsoporttal való szoros együttműködésük részleteit is. Az InvisiMole csoport elsősorban magas szintű katonai és diplomáciai szervezeteket célzott meg Kelet-Európában, azonban a Gamaredon csoporttal történő együttműködés révén mindez idővel az üzleti felhasználók, vállalatok számára is veszélyes lehet. A telemetriai adatok szerint a legújabb támadási kísérletek 2019 végétől legalább 2020 júniusáig tartottak.
A legalább 2013 óta aktív InvisiMole csoport tevékenységéről korábban elsőként az ESET számolt be, néhány ukrajnai és orosz kiberkémkedési esettel kapcsolatban, ahol kétfunkciós backdoor programokkal kutakodtak az áldozatok után. Akkoriban megtalálták ugyan a meglepően jól felszerelt backdoor (hátsóajtó, azaz illetéktelenek számára észrevétlen távoli bejutást, elérést biztosító kártékony kód) programokat, azonban a kép eddig hiányos volt.
Ugyanis nem volt világos, hogyan terjesztették és juttatták el az áldozatok gépére a kártevőket, illetve miként telepítették ezeket. A támadásban érintett szervezetekkel történő együttműködés során a szakemberek most lehetőséget kaptak arra, hogy alaposabban megvizsgálják az InvisiMole működését, így végre dokumentálni tudták az InvisiMole a backdoor programok kézbesítéséhez, mozgatásához és elindításához használt kiterjedt eszközkészletet.
A vizsgálat egyik legjelentősebb megállapítása, hogy fény derült az InvisiMole és egyik másik ismert hackercsoport, a Gamaredon együttműködésére. A Gamaredon a Microsoft Outlook programot támadva adathalász leveleket küld a kontaktlistában található címekre, és kártevőkkel fertőzi meg a Microsoft Office dokumentumokat.
A kutatók felfedezték, hogy az InvisiMole arzenálja csak akkor lép működésbe, ha a Gamaredon már bejutott az áldozatok hálózatába, és azon belül adminisztrátori jogosultságokat is szerzett. Az eredmények azt sugallják, hogy a támadók által különösen jelentősnek tartott célpontok esetében a viszonylag egyszerű Gamaredon kártevőket a fejlett InvisiMole programok váltják. Ez lehetővé teszi az InvisiMole csoport számára, hogy kreatív módszereket kidolgozva maradjon észrevétlen.
Az észrevétlen működéssel kapcsolatban a kutatók azt találták, hogy az InvisiMole négy különféle végrehajtási láncot használ, amelyeket úgy alakítottak ki, hogy a rosszindulatú kódot legális eszközökkel és futtatható fájlokkal kombinálják.
A rosszindulatú programok elrejtésének érdekében az InvisiMole összetevőit az áldozatokhoz köthető egyedi titkosítással védik, így az állományokat csak az érintett számítógépen lehet visszafejteni és futtatni. A frissített InvisiMole eszközkészlet emellett tartalmaz egy új komponenst is, amely az úgynevezett DNS tunnel technikát használja a rejtett C&C (command-and-control, a támadó fél vezérlő és kommunikáció szervere) kommunikációhoz.
A Gamaredon .NET downloader "frissíti" az áldozatok gépét az InvisiMole TCP letöltő programjára. Az ESET szakemberei 3 konkrét módszert találtak az InvisiMole terjesztésére a fertőzött hálózatokban.
Az első a BlueKeep sebezhetőség révén RDP protokolban (CVE-2019-0708), a második az EternalBlue sebezhetőségen keresztül az SMB protokolban (CVE-2017-0144), míg a harmadik út a trójai programokkal fertőzött dokumentumok és szoftvertelepítők segítségével, amelyeket a támadni kívánt szervezetektől ellopott jóindulatú fájlok alapján fejlesztettek.
A csoport frissített eszközkészletét elemezve a kutatók jelentős fejlődést tapasztaltak a korábbi verziókhoz képest, amelyet nem csak katonai vagy diplomáciai, hanem üzleti hírszerzésre is felhasználhatnak a későbbiekben. Ezzel az új tudással még szorosabban nyomon követhetik a csoport rosszindulatú tevékenységeit a jövőben. Az alaposabb vizsgálatokban rengeteg fertőzött gépet is találtak, amelyeken már több mint nyolcezer dokumentumot készítettek elő ellopásra. Ezek kiszivárgása egy cég életében hatalmas károkat okozhat.
Mivel az InvisiMole a céges, vállalati felhasználók számára kifejezetten komoly fenyegetést jelent, ezért érdemes egyrészt a fertőzési vektorok elleni védekezésként frissíteni, és naprakészen tartani a vállalati rendszereket, hiszen mind a BlueKeep, mind az EternalBlue sérülékenység ellen már évek óta letölthető a hibajavítás. Természetesen a naprakész vírusvédelem mellett az ebben az incidensben is érintett Office programok rendszeres hibajavító frissítése is kiemelten fontos.
Emellett megkerülhetetlen a rendszeres céges biztonságtudatossági képzések és a vállalati hálózatok biztonságos beállításának témaköre is, hiszen a feleslegesen nyitott portok, nyitva hagyott RPD kapcsolat, illetve a felhasználók óvatlansága miatt megnyitott kéretlen levélmellékletek, lekattintott rosszindulatú link hivatkozások is komoly fenyegetést, veszélyt jelenthetnek.
Az InvisiMole legújabb eszközkészletének részletesebb elemzése a WeLiveSecurity oldalon található alábbi háttéranyagban olvasható.