Hackerii InvisiMole vizează instituții militare și diplomatice din Europa de Est

Firma de securitate cibernetică ESET a descoperit modul de operare al grupării de hackeri InvisiMole, care se ocupă de spionaj cibernetic împotriva instituțiilor militare și diplomatice din Europa de Est.

Remarcată pentru prima dată în 2018, InvisiMole este activă din anul 2013 și are legături cu gruparea Gamaredon, axată, de asemenea, pe operațiuni de spionaj cibernetic în Ucraina și Rusia. 

Cercetătorii ESET au descoperit că arsenalul celor de la InvisiMole este activat doar după succesul acțiunilor APT Gamaredon, prin care atacatorii obțin privilegii administrative în rețeaua țintă, privilegii necesare pentru aplicarea metodelor de execuție InvisiMole.

InvisiMole exploatează vulnerabilitățile BlueKeep (CVE-2019-0708) și EternalBlue (CVE-2017-0144) din protocoalele RDP și SMB, folosește versiuni actualizate ale backdoor-urilor  RC2CL și RC2FM, descărca module suplimentare și creează tuneluri DNS, pentru a ascunde comunicările către un server C&C controlat de atacator.

RC2CL și RC2FM sunt descărcate prin patru lanțuri de execuție diferite, prin combinarea codului shell malițios cu aplicații executabile vulnerabile:

  • Control Panel misuse chain folosește o tehnică rară, publicată de WikiLeaks în “Vault 7”, pentru a realiza o execuție camuflată în cadrul Control Panel;
  • SMInit exploit chain exploatează o vulnerabilitate din software-ul Total Video Player. Este utilizat în cazurile în care atacatorii nu au reușit să obțină privilegii administrative pe sistem;
  • Speedfan exploit chain  exploatează o vulnerabilitate de escaladare a privilegiilor  locale în driverul speedfan.sys, pentru a injecta cod într-un un proces din kernel;
  • Wdigest exploit chain este vârful de lance al InvisiMole, utilizat pe cele mai noi versiuni de Windows, unde hackerii au obținut privilegii administrative. Acesta exploatează o vulnerabilitate în biblioteca wdigest.dll a Windows și utilizează o tehnică ListPlanting, îmbunătățită, pentru a injecta cod într-un proces trusted.

Versiunea îmbunătățită de backdoor RC2CL acceptă până la 87 de comenzi, cu capabilități de a porni camera web și microfonul, pentru fotografii, înregistrări video și audio, face capturi capturi de ecran, colectează date de rețea și lista cu aplicațiile instalate. RC2FM permite comenzi de exfiltrare a datelor, are capabilități de key-logger și poate evita mecanismul de securitate User Access Control (UAC). Tehnicile RC2CL cât și RC2FM vin cu mijloace proprii pentru a evita detectarea de către antivirus, prin injectarea în alte procese legitime și suprimarea unor caracteristici proprii.

InvisiMole introduce în sistem toate executabilele vulnerabile utilizate în aceste lanțuri – o varianta acestei tehnici, folosind un driver vulnerabil, a fost denumită anterior de către cercetători „Bring Your Own Vulnerable Driver”. Pentru celelalte cazuri, au numit tehnica Bring Your Own Vulnerable Software.

Tactica membrilor InvisiMole este de a instala, inițial, exclusiv aplicații legitime și de a păstra aplicațiile malware pentru etapele ulterioare.

Pentru a proteja execuția și a cripta conținutul, individual pentru fiecare victimă, InvisiMole utilizează o caracteristică a Windows numită API Protection Data (DPAPI), astfel:

  • CryptProtectData API pentru criptarea datelor;
  • CryptUnprotectData API pentru decriptarea datelor;

Această schemă de criptare simetrică folosește o cheie derivată din credențialele de conectare ale utilizatorului, deci decriptarea trebuie să fie efectuată pe același computer în care datele au fost criptate.

Figura de mai jos prezintă un fragment din tehnica InvisiMole, care utilizează CryptUnprotectData pentru decriptare și verifică dacă rezultatul începe cu valoarea caracteristică InvisiMole pe patru octeți:

  • 64 DA 11 CE pentru sarcini utile pe 64 de biți
  • 86 DA 11 CE pentru sarcini utile pe 32 de biți

Funcția DPAPI, destinată stocării locale a credențialelor, cum ar fi parolele Wi-Fi sau parolele de conectare în browserele web, este exploatată de InvisiMole pentru a-și ascunde conținutul. Chiar dacă cercetătorii în securitate cibernetică ar găsi componentele InvisiMole în telemetrie sau pe platformele web de partajare a programelor malware, nu le pot decripta în afara computerului victimei.

Surse: https://thehackernews.com/

https://www.welivesecurity.com/