Cybersecurity Malware

InvisiMole: Spyware ที่แอบทำงานมาอย่างลับๆตั้งแต่ปี 2013

InvisiMole สปายแวร์ที่มีความสามารถในการสอดแนมสูงสุดเท่าที่เคยมีมา ปรากฏตัวครั้งแรกหลังจากทำงานมากว่า 5 ปี

สปายแวร์ที่คอยตามล่าข้อมูลความลับของเป้าหมายที่มีชื่อเสียงจากในเงามืด

InvisiMole เป็นการทำงานร่วมกันของส่วนประกอบมัลแวร์ 2 ตัว พวกเขาเปลี่ยนคอมพิวเตอร์ให้เป็นเหมือนกล้องวิดีโอ ทำให้แฮกเกอร์เห็นและได้ยินสิ่งที่เกิดขึ้นในที่ทำงานของเป้าหมาย รวมทั้งขโมยความลับและกิจกรรมของเหยื่อได้

ระบบตรวจจับของเราชี้ว่าผู้ดำเนินการมัลแวร์ InvisiMole เริ่มปฏิบัติการมาตั้งแต่ปี 2013 และ ESET เป็นรายแรกที่วิเคราะห์เครื่องมือที่แฮกเกอร์ใช้ปฏิบัติการในยูเครนและรัสเซีย

InvisiMole มีเป้าหมายเป็นองค์กรที่มีชื่อเสียงทั้งหลาย แม้จะมีอัตราการแทรกซึมสำเร็จที่ต่ำ และมีคอมพิวเตอร์ไม่กี่สิบเครื่องที่ติดมัลแวร์ตัวนี้

InvisiMole ใช้สถาปัตยกรรมแบบแยกส่วน เริ่มด้วย Wrapper DLL และเริ่มกิจกรรมผ่านอีกสองโมดูลที่ฝังอยู่ โดยทั้งสองโมดูลมีฟีเจอร์ Backdoor สำหรับการรวบรวมข้อมูลของเป้าหมายให้มากที่สุดเท่าที่จะทำได้

โดย InvisiMole ใช้การติดต่อสื่อสารผ่านเซิร์ฟเวอร์ C&C ถ้าที่พิเศษก็คือ หากการเชื่อมต่อโดยตรงไม่สำเร็จ โมดูลจะทำการเชื่อมต่อกับ Proxy ที่ใช้กับเบราว์เซอร์อย่าง Firefox, Pale Moon และ Opera

ความสามารถคร่าวๆของ InvisiMole ขึ้นอยู่กับคำสั่งที่ได้รับ โดย Backdoor จะรองรับคำสั่งไฟล์ระบบปฏิบัติการ ไฟล์ EXE และ Registry Key หรือ Remote Shell Activation ซึ่งสามารถสำรวจไฟล์ในเครื่องของเหยื่อ และตรวจสอบข้อมูลเครื่อง อย่าง Active Processess, Running Service, Loaded Drivers หรือ Available Drives To Networking Information, รวมถึงตาราง Forward IP และความเร็วอินเตอร์เน็ต

นอกจากนี้ยังสามารถตรวจสอบรายชื่อแอปพลิเคชั่นที่ติดตั้งอยู่ในเครื่องหรือเครือข่ายที่ InvisiMole เข้าไปได้ และไฟล์เอกสารที่เปิดใช้งานล่าสุดเช่นกัน

สรุปง่ายๆว่า InvisiMole เป็นสปายแวร์ที่มีความสามารถที่หลากหลายในแบบของสปายแวร์ และอาจทำได้มากกว่าที่เราพบในปัจจุบัน และทำงานมาเป็นเวลากว่า 5 ปี โดยมีเป้าหมายเป็นองค์กรที่มีชื่อเสียง

Author: Zuzana Hromcová
Source:
https://www.welivesecurity.com/2018/06/07/invisimole-equipped-spyware-undercover/
Translated by: Worapon H.

%d bloggers like this: