Sliedrecht, 18 juni 2020 – Tijdens het onderzoek naar een nieuwe campagne van InvisiMole, een aanvallersgroepering waar ESET voor het eerst verslag van deed in 2018, hebben ESET-onderzoekers de bijgewerkte toolset van de groep en de tot dan toe onbekende details over de werking ervan aan het licht gebracht. De bevindingen komen voort uit een gezamenlijk onderzoek met de gedupeerde organisaties. In haar nieuwe campagne kwam de InvisiMole-groep opnieuw naar voren met een bijgewerkte toolset, gericht op enkele spraakmakende organisaties in de militaire sector en diplomatieke missies, beide in Oost-Europa. Volgens telemetrie van ESET vonden de aanvalspogingen plaats van eind 2019 tot ten minste juni 2020 – het moment dat ESET haar onderzoeksbevindingen publiceerde.
InvisiMole, actief sinds in ieder geval 2013, werd voor het eerst gedocumenteerd in verband met gerichte cyberspionageoperaties in Oekraïne en Rusland waarbij zij met behulp van twee krachtige backdoors slachtoffers bespioneerden.
“Destijds vonden we de verrassend goed uitgeruste backdoors al, maar misten wij een groot deel van het totaalplaatje – we wisten niet hoe ze geleverd, verspreid en geïnstalleerd werden op het systeem", verklaart Zuzana Hromcová, één van de ESET-onderzoekers die InvisiMole analyseerde.
Door het onderzoek naar de aanvallen uit te voeren in samenwerking met de getroffen organisaties kregen de ESET-onderzoekers de kans om een kijkje te nemen achter de schermen van de aanvallen van InvisiMole. “We waren in staat om de uitgebreide toolset te documenteren die werd gebruikt voor de levering, verspreiding en uitvoering van InvisiMoles backdoors,” zegt Anton Cherepanov, ESET-malwareonderzoeker en leider van dit onderzoek.
Eén van de belangrijkste bevindingen van het onderzoek betreft de samenwerking van de InvisiMole-groep met een anderegroepering, Gamaredon. De onderzoekers ontdekten dat het arsenaal van InvisiMole pas wordt ingezet nadat Gamaredon het netwerk al geïnfiltreerd heeft en mogelijk al administratieve rechten heeft verworven. “Ons onderzoek suggereert dat doelwitten die door de aanvallers als bijzonder belangrijk worden beschouwd, geüpgraded worden van relatief eenvoudige Gamaredon-malware naar de geavanceerde InvisiMole-malware. Een creatieve manier van de InvisiMole-groep om onopgemerkt te opereren,” aldus Hromcová.
Wat betreft het onopgemerkt blijven: ESETs onderzoekers ontdekten dat InvisiMole vier verschillende executieketens gebruikt die kwaadaardige shellcode combineren met legitieme tools en kwetsbare executables. Om de malware te verbergen voor cybersecurityonderzoekers worden de InvisiMole-componenten per slachtoffer beschermd met encryptie. Hierdoor kan de payload alleen ontcijferd en uitgevoerd worden op de betreffende computer. De bijgewerkte InvisiMole-toolset bevat ook een nieuw component dat gebruik maakt van DNS-tunneling voor sluwere C&C-communicatie.
Bij het analyseren van de bijgewerkte toolset van de groep constateerden de onderzoekers aanzienlijke verbeteringen ten opzichte van eerder geanalyseerde versies. “Met deze nieuwe kennis kunnen we de kwaadaardige activiteiten van de groep nog beter volgen,” besluit Hromcová.
Voor een diepgaande technische analyse van de nieuwste InvisiMole toolset verwijzen we je naar de whitepaper “InvisiMole: The hidden part of the story” op WeLiveSecurity.
Over ESET
Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke “in-the-wild” malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook en Twitter.