Οι ερευνητές ασφαλείας έχουν αναλύσει την αλυσίδα επίθεσης του InvisiMole στον κυβερνοχώρο, αποκαλύπτοντας μια περίπλοκη μορφή πολλαπλών σταδίων που βασίζεται σε ευάλωτα νόμιμα εργαλεία, κρυπτογράφηση payload και συγκεκριμένη επικοινωνία.
Το InvisiMole αποκτά πρόσβαση στο δίκτυο μέσω της Gamaredon, μιας hacking ομάδας που συνδέεται με τη Ρωσία.
Και οι δύο ομάδες επίθεσης λειτουργούν για τουλάχιστον επτά χρόνια και παρά τη συνεργασία τους, θεωρούνται ξεχωριστοί απειλητικοί παράγοντες λόγω της σαφέστατης διαφοράς στις τακτικές και τις τεχνικές επίθεσης.
Νόμιμα εργαλεία που χρησιμοποιούνται σε αλυσίδες επίθεσης
Το malware InvisiMole εντοπίστηκε για πρώτη φορά το 2018, ταξινομήθηκε ως σύνθετο λογισμικό υποκλοπής απροσδιόριστης προέλευσης που μπορεί να παρακολουθεί τη γεωγραφική θέση των θυμάτων, να κατασκοπεύει μέσω κάμερας web, να λαμβάνει screenshots και να κλέβει έγγραφα.
Οι πρόσφατες εκδόσεις χρησιμοποιούν επίσης το πρωτόκολλο μεταφοράς μέσων (MTP) για να κλέψουν φωτογραφίες από κινητά τηλέφωνα που είναι συνδεδεμένα στον μολυσμένο υπολογιστή.
Η ερευνητής της ESET, Zuzana Hromcová, στο συνέδριο ασφάλειας του ESET Virtual World παρουσίασε μια επισκόπηση της αλυσίδας επίθεσης πολλαπλών σταδίων που ανακατασκευάστηκε μετά από έρευνα μιας καμπάνιας που ξεκίνησε τον Σεπτέμβριο του 2019 και συνεχίζει να είναι ενεργή.
Συνεργαζόμενοι με τα θύματα, οι ερευνητές μπόρεσαν να χαρτογραφήσουν τέσσερις αλυσίδες εκτέλεσης, που χρησιμοποιήθηκαν στον παραβιασμένο υπολογιστή και την εγκατεστημένη έκδοση των Windows.
Για να μην εντοπιστεί η λειτουργία, ο απειλητικός παράγοντας χρησιμοποίησε ευάλωτα εκτελέσιμα νόμιμων εργαλείων, όπως το πρόγραμμα αναπαραγωγής βίντεο Total, το βοηθητικό πρόγραμμα SpeedFan ή το wdigest.dll στα Windows.
Το InvisiMole χρησιμοποίησε επίσης μια τεχνική που χρησιμοποιεί τον Πίνακα Ελέγχου για την εκτέλεση κακόβουλων malware στοιχείων.
Επίσης ο απειλητικός παράγοντας κρυπτογράφησε μερικά από τα payloads χρησιμοποιώντας το API προστασίας δεδομένων (DPAPI) στα Windows για να κρυπτογραφήσει και να αποκρυπτογραφήσει τα payloads στην αλυσίδα επίθεσης.
Το DPAPI χρησιμοποιείται για την προστασία ευαίσθητων δεδομένων, όπως κωδικών πρόσβασης που έχουν αποθηκευτεί από το πρόγραμμα περιήγησης ιστού και συνδέεται με τα login credentials για το σύστημα. Αυτό σημαίνει ότι τα δεδομένα μπορούν να αποκρυπτογραφηθούν μόνο στον κεντρικό υπολογιστή όπου αρχικά κρυπτογραφήθηκε, κάνοντας έτσι την έρευνα της ESET πολύ πιο δύσκολη.
Η Hromcová αναφέρει επίσης ότι μόνο επιλεγμένοι υπολογιστές στο δίκτυο θα έχουν μολυνθεί με το InvisiMole. Αυτό είναι και το σημείο που φαίνεται να συμμετέχει η ομάδα Gamaredon και το εξελιγμένο λογισμικό της.
Η Gamaredon χρησιμοποιεί spear phishing για να αποκτήσει πρόσβαση σε έναν στόχο και ένα .NET πρόγραμμα λήψης που οδηγεί στην “διασπορά” ενός ευπαθούς εκτελέσιμου που χρησιμοποιείται στην επίθεση πολλαπλών σταδίων της InvisiMole.
Σύμφωνα με την έρευνα της ESET, το InvisiMole συνεχίζει να βασίζεται στα δύο backdoors που αναλύθηκαν το 2018 (RC2CL και RC2FM) αλλά με κάποιες νέες προσθήκες.
