ESET onderzoekers onthullen werkwijze van InvisiMole groep

18-06-2020 | door: Redactie

ESET onderzoekers onthullen werkwijze van InvisiMole groep

Tijdens het onderzoek naar een nieuwe campagne van InvisiMole, een aanvallersgroepering waar ESET voor het eerst verslag van deed in 2018, hebben ESET-onderzoekers de bijgewerkte toolset van de groep en de tot dan toe onbekende details over de werking ervan aan het licht gebracht.

De bevindingen komen voort uit een gezamenlijk onderzoek met de gedupeerde organisaties. In haar nieuwe campagne kwam de InvisiMole-groep opnieuw naar voren met een bijgewerkte toolset, gericht op enkele spraakmakende organisaties in de militaire sector en diplomatieke missies, beide in Oost-Europa. Volgens telemetrie van ESET vonden de aanvalspogingen plaats van eind 2019 tot ten minste juni 2020 – het moment dat ESET haar onderzoeksbevindingen publiceerde.

InvisiMole, actief sinds in ieder geval 2013, werd voor het eerst gedocumenteerd in verband met gerichte cyberspionageoperaties in Oekraïne en Rusland waarbij zij met behulp van twee krachtige backdoors slachtoffers bespioneerden.

“Destijds vonden we de verrassend goed uitgeruste backdoors al, maar misten wij een groot deel van het totaalplaatje – we wisten niet hoe ze geleverd, verspreid en geïnstalleerd werden op het systeem", verklaart Zuzana Hromcová, één van de ESET-onderzoekers die InvisiMole analyseerde.

Door het onderzoek naar de aanvallen uit te voeren in samenwerking met de getroffen organisaties kregen de ESET-onderzoekers de kans om een kijkje te nemen achter de schermen van de aanvallen van InvisiMole. “We waren in staat om de uitgebreide toolset te documenteren die werd gebruikt voor de levering, verspreiding en uitvoering van InvisiMoles backdoors,” zegt Anton Cherepanov, ESET-malwareonderzoeker en leider van dit onderzoek.

Eén van de belangrijkste bevindingen van het onderzoek betreft de samenwerking van de InvisiMole-groep met een anderegroepering, Gamaredon. De onderzoekers ontdekten dat het arsenaal van InvisiMole pas wordt ingezet nadat Gamaredon het netwerk al geïnfiltreerd heeft en mogelijk al administratieve rechten heeft verworven. “Ons onderzoek suggereert dat doelwitten die door de aanvallers als bijzonder belangrijk worden beschouwd, geüpgraded worden van relatief eenvoudige Gamaredon-malware naar de geavanceerde InvisiMole-malware. Een creatieve manier van de InvisiMole-groep om onopgemerkt te opereren,” aldus Hromcová.

Wat betreft het onopgemerkt blijven: ESETs onderzoekers ontdekten dat InvisiMole vier verschillende executieketens gebruikt die kwaadaardige shellcode combineren met legitieme tools en kwetsbare executables. Om de malware te verbergen voor cybersecurityonderzoekers worden de InvisiMole-componenten per slachtoffer beschermd met encryptie. Hierdoor kan de payload alleen ontcijferd en uitgevoerd worden op de betreffende computer. De bijgewerkte InvisiMole-toolset bevat ook een nieuw component dat gebruik maakt van DNS-tunneling voor sluwere C&C-communicatie.

Bij het analyseren van de bijgewerkte toolset van de groep constateerden de onderzoekers aanzienlijke verbeteringen ten opzichte van eerder geanalyseerde versies. “Met deze nieuwe kennis kunnen we de kwaadaardige activiteiten van de groep nog beter volgen,” besluit Hromcová.

Voor een diepgaande technische analyse van de nieuwste InvisiMole toolset verwijzen we je naar de whitepaper “InvisiMole: The hidden part of the story” op WeLiveSecurity.

Terug naar nieuws overzicht