Ουκρανοί αξιωματούχοι ασφαλείας έχουν προειδοποιήσει για συνεχιζόμενες επιθέσεις από την InvisiMole, μια ομάδα hacking που έχει δεσμούς με τη ρωσική ομάδα APT Gamaredon.
Δείτε επίσης: Νέο phishing toolkit επιτρέπει τη δημιουργία ψεύτικων παραθύρων Chrome
Την περασμένη εβδομάδα, η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών για την Ουκρανία (CERT-UA) είπε ότι το τμήμα έχει ενημερωθεί για νέες εκστρατείες phishing που πραγματοποιούνται εναντίον ουκρανικών οργανισμών που διαδίδουν το backdoor LoadEdge.
Σύμφωνα με το CERT-UA, αποστέλλονται μηνύματα phishing που έχουν συνημμένο αρχείο, 501_25_103.zip, μαζί με ένα αρχείο συντόμευσης (LNK). Εάν ανοίξει, ένα αρχείο εφαρμογής HTML (HTA) πραγματοποιεί λήψη και εκτέλεση VBScript που έχει σχεδιαστεί για την ανάπτυξη του LoadEdge.
Μόλις το backdoor σχηματίσει ένα link προς έναν command-and-control (C2) server InvisiMole, αναπτύσσονται και εκτελούνται άλλα malware payloads, συμπεριλαμβανομένου του TunnelMole, malware που καταχράται το πρωτόκολλο DNS για να σχηματίσει ένα tunnel για διανομή κακόβουλου λογισμικού και RC2FM και RC2CL , που είναι μονάδες backdoor συλλογής δεδομένων και επιτήρησης. Το persistence διατηρείται μέσω του μητρώου των Windows.
Η ομάδα InvisiMole ανακαλύφθηκε για πρώτη φορά από ερευνητές της ESET το 2018. Οι απειλητικοί παράγοντες είναι ενεργοί τουλάχιστον από το 2013 και έχουν συνδεθεί με επιθέσεις εναντίον οργανισμών «υψηλού προφίλ» στην Ανατολική Ευρώπη που εμπλέκονται σε στρατιωτικές δραστηριότητες και διπλωματικές αποστολές.
Δείτε επίσης: Το Avoslocker ransomware στοχεύει κρίσιμες υποδομές των ΗΠΑ
Το 2020, οι ερευνητές της κυβερνοασφάλειας δημιούργησαν μια συνεργατική σύνδεση μεταξύ της ομάδας InvisiMole και της ομάδας Gamaredon/Primitive Bear, η τελευταία φαίνεται να εμπλέκεται σε αρχικά δίκτυα διείσδυσης πριν το InvisiMole ξεκινήσει τη δική του λειτουργία.
Και η Palo Alto Networks παρακολουθούσε την Gamaredon και τον Φεβρουάριο, είπε ότι η APT είχε προσπαθήσει να θέσει σε κίνδυνο μια ανώνυμη "δυτική κυβερνητική οντότητα" στην Ουκρανία μέσω ψεύτικων καταχωρίσεων θέσεων εργασίας.
Επίσης, η CERT-UA έχει αρχίσει να παρακολουθεί τις δραστηριότητες της Vermin/UAC-0020, μιας ομάδας που προσπαθούσε να εισβάλει στα συστήματα των ουκρανικών κρατικών αρχών. Η Vermin χρησιμοποιεί το θέμα των προμηθειών ως δέλεαρ σε μηνύματα phishing – αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν ένα αρχείο με γράμματα και κωδικό πρόσβασης που περιέχει το κακόβουλο λογισμικό Spectr.
Το 2018, η ESET και το Palo Alto Networks δημοσίευσαν έρευνα για την Vermin, μια ομάδα που δραστηριοποιείται τουλάχιστον τα τελευταία τέσσερα χρόνια, αν και μπορεί να χρονολογείται από το 2015.
Δείτε επίσης: Η TransUnion South Africa αποκάλυψε ότι παραβιάστηκε
Η Vermin στόχευε εξαρχής τα ουκρανικά κυβερνητικά ιδρύματα, με τα trojans απομακρυσμένης πρόσβασης (RAT) Quasar, Sobaken και Vermin να είναι τα κακόβουλα εργαλεία τους.
Πηγή πληροφοριών: bleepingcomputer.com
