Výskumníci bezpečnostnej spoločnosti ESET v krátkej dobe informovali o ďalšej kampani kyberkriminálnikov. Prvý prípad sa týkal sociálneho inžinierstva, špionáže a sociálnej siete LinkedIn, ktorú dnes vlastní Microsoft.
Novší výskum sa točí okolo známej kybernetickej skupiny InvisiMole a jej aktualizovanej sade nástrojov. O aktivitách tejto skupiny ESET po prvý raz informoval v roku 2018. Aktuálne zistenia vyplývajú zo spoločnej analýzy s dotknutými organizáciami.
Nový útok sa zameral na niekoľko významných organizácií vo vojenskom sektore a na diplomatické misie vo východnej Európe. Podľa telemetrie spoločnosti ESET pokusy o útoky prebiehali od konca roka 2019 do minimálne júna 2020, kedy boli zverejnené podrobnosti.
InvisiMole je kyberskupina aktívna minimálne od roku 2013. Prvý raz o nej ESET informoval v súvislosti s cielenými útokmi na Ukrajine a v Rusku, na sledovanie svojich obetí využívala dva backdoory so širokou funkcionalitou.
„Vtedy sme našli prekvapivo dobre vybavené backdoory, ale veľká časť tohto puzzle nám chýbala – nevedeli sme, ako sa do systému obete dostali, ako sa šírili a ako sa nainštalovali,“ hovorí Zuzana Hromcová, výskumníčka spoločnosti ESET, ktorá analyzovala InvisiMole.
Vďaka analýze útokov v spolupráci s dotknutými organizáciami získali výskumníci spoločnosti ESET príležitosť dôkladne sa pozrieť pod kapotu operácií skupiny InvisiMole.
„Dokázali sme zdokumentovať rozsiahlu sadu nástrojov, ktorá sa používa na dodanie škodlivého kódu, pohyb po sieti a spustenie backdooru,“ hovorí Anton Cherepanov, výskumník spoločnosti ESET, ktorý viedol analýzu InvisiMole.
Spolupráca viacerých skupín
Jedno z hlavných zistení sa týka spolupráce skupiny InvisiMole s ďalšou kybernetickou skupinou Gamaredon. Výskumníci zistili, že arzenál InvisiMole je do siete obete uvoľnený až po tom, čo Gamaredon do tejto siete už prenikol a prípadne i získal administratívne právomoci.
„Náš výskum naznačuje, že obete, ktoré útočníci považujú za obzvlášť významné, sú cez relatívne jednoduchý škodlivý kód Gamaredon infikované pokročilým škodlivým kódom InvisiMole. To umožňuje skupine InvisiMole vymyslieť kreatívne spôsoby, ako sa chrániť pred odhalením,“ vysvetľuje Hromcová.
Skupina Gamaredon je aktívna minimálne od roku 2013 a zameriava sa hlavne na ciele na Ukrajine. Ich novší škodlivý nástroj sa zameriava na VBA makrá v programe Microsoft Outlook. VBA makrá sa ukladajú ako .OTM súbor, ide zrejme o prvý zdokumentovaný prípad zneužitia OTM súboru a Outlook makier za účelom rozosielania škodlivých e-mailov ďalším kontaktom obete.
Skupina Gamaredon zasiela takéto správy na tri skupiny obete – na všetky kontakty v Outlooku, na všetky kontakty organizácie, ktorej e-mailová adresa obete prislúcha, alebo na vybrané e-mailové adresy.
Škodlivé makrá
Druhý nástroj sa zameriava na vloženie škodlivých makier do dokumentov, ktoré sa už v zariadení obete nachádzajú. Nástroje skupiny Gamaredon majú schopnosť dobre sa skrývať pred objavením, takúto snahu však vôbec neprejavujú. Namiesto toho sa snažia rozšíriť sa čo najviac a čo najrýchlejšie po sieti, do ktorej sa dostali. Táto kombinácia vyvoláva vo výskumníkoch ESETu otázku, či v tejto skladačke taktiež niečo nechýba.
Inak je to v prípade komponentov skupiny InvisiMole, ktoré sú chránené šifrovaním s cieľom skryť škodlivý kód pred bezpečnostnými výskumníkmi. Je ich možné dešifrovať výhradne na zariadení obete. Aktualizovaná súprava nástrojov InvisiMole obsahuje aj nový komponent, ktorý na utajenejšiu komunikáciu so svojim riadiacim serverom využíva DNS tunelovanie.
Pri analýze aktualizovaného súboru nástrojov skupiny InvisiMole výskumníci našli podstatné zlepšenia v porovnaní s predtým analyzovanými verziami.
„Vďaka týmto novým poznatkom dokážeme ešte lepšie sledovať škodlivé aktivity tejto skupiny,“ uzatvára Hromcová.
