InvisiMole 和 Gamaredon 联手传播后门恶意软件

研究人员透露,InvisiMole和Gamaredon黑客联合起来,对东欧知名组织发起有针对性的攻击


ESET研究小组发现了两个臭名昭著的黑客组织,即InvisiMole和Gamaredon,联合攻击东欧的军事部门和外交组织。InvisiMole ATP在2018年首次被报道为自2013年以来发现的最持久的间谍软件之一。当时,这个间谍软件背后的黑客正在使用两个恶意组件,允许他们访问系统,将计算机变成摄像头,并以相当简单的方式窃取受害者的凭据。

另一组被称为Gamaredon ATP 的人也同样危险。它的行为体因开发一系列黑客工具、破坏各种设备、收集情报、传播恶意软件和展示与俄罗斯政府的联系而受到谴责。过去,InvisiMole和Gamaredon集团都在乌克兰特别是东欧开展活动。

据研究人员称,目前在2020年6月揭晓的竞选活动是以一种更加复杂的多阶段形式发起的。与以前使用的RC2FM和RC2CL后门模块不同,InvisiMole恶意软件组通过将外壳代码与易受攻击的可执行文件、合法的Windows系统工具、DNS隧道、C&C通信和新的持久性模型相结合来改进其工具集。

用于分发的EternalBlue和BlueKeep漏洞

在目前对复活节欧洲军事和组织的袭击中,犯罪分子互相利用对方最好的一面。属于Gamaredon的.NET下载程序用于InvisiMole部署。为了利用受损环境并传播负载,InvisiMole backdoor使用BlueKeep(CVE-2019-0708)、EternalBlue(CVE-2017-0144)漏洞以及盗版软件安装程序和受特洛伊木马病毒感染的文档。

当负载启动时,罪犯释放DNS下载程序以确保持久性,启用DNS隧道,并与C&C服务器建立通信。之后,有效载荷释放改进的RC2CM和RC2CL后门。

隐形间谍软件是高度危险的,因为它的持久性和PII泄漏的可能性。根据研究人员的说法,它的目标是记录目标组织保存在其服务器上的文档或软件,然后用受木马病毒感染的变体替换它们。

如果受特洛伊木马感染的合法软件安装程序保留在组织的中心服务器上,它会以相当容易的方式渗透到服务器,确保持久性并开始泄漏信息。

政府支持针对知名组织的后门病毒。可能需要哪些数据?

有一些链接允许网络安全专家主张Gamaredon,以及InvisiMole,黑客可能是俄罗斯政府支持的。尽管这些组织之间有着密切的联系,ESET的研究人员Zuzana Hromcova声称这些黑客属于不同的实体,并且正在执行非常独特的攻击。

无论如何,与俄罗斯政府的联系是一个令人担忧的事实。这是因为这些黑客以装备精良和发动长期攻击而闻名,而这些攻击(通常)会带来结果。正如ESET所指出的,如果恶意软件完全植根于组织的主服务器,RC2CM和RC2CL后门可以泄漏服务器连接设备上发现的任何东西。

RC2CM可能性:

  • 后门确保了罪犯获取输入和屏幕的可能性
  • 恶意软件可以读取击键,并将捕获的视频记录在网络摄像头上
  • InvisiMole病毒可以下载能够在受损系统上执行的其他文件
  • 恶意软件可以使用异或密码加密数据
  • 收集的数据被过滤到C&C服务器

RC2CL后门

  • 后门可以通过滥用合法的lame.dll程序来记录麦克风发出的声音
  • 它可以从系统中收集数据并监视特定目录中的更改
  • 将收集到的信息存储在中心位置,以便以后进行过滤截图
  • 可以访问受害者的摄像头并录制照片/视频
  • 可以下载其他文件并运行它们
  • 使用修改过的异或密码加密某些数据

总的来说,这两个组织的合作可能导致对东欧(或其他)组织的巨大攻击,这就是为什么IT经理应该采取一切可能的预防措施来保护系统免受此类攻击的原因。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!