Malware

เจาะเครื่องมือของ InvisiMole

นักวิจัยเปิดเผยเครื่องมือของกลุ่มแฮกเกอร์ InvisiMole กับความเกี่ยวข้องกับกลุ่ม Gamaredon

เมื่อปี 2018 เราพบ InvisiMole กับแผนการสอดแนมที่เริ่มมาตั้งแต่ปี 2013 ในภูมิภาคยุโรปตะวันออก

ติดตามการรายงานเต็มๆได้ที่: InvisiMole: The hidden part of the story

จากการติดตามพบว่ากลุ่มแฮกเกอร์ InvisiMole น่าจะเริ่มปฏิบัติการมาตั้งแต่ 2013 ด้วย backdoor RC2CL และ RC2FM ที่มีความสามารถในการสอดแนม

ในแผนการที่พบล่าสุดกลุ่ม InvisiMole ได้อัพเดตเครื่องมือใหม่ เพื่อโจมตีกลุ่มเป้าหมายที่เจาะจง เช่น หน่วยงานทหาร และกระบวนการทางการทูต ในภูมิภาคยุโรปตะวันออก

ต้องขอบคุณองค์กรที่ได้รับผลกระทบ ที่ให้ความร่วมมือกับเราในการตรวจสอบ และทำให้เราสามารถวิเคราะห์เครื่องมือของ InvisiMole ได้

เราพบ InvisiMole หลักจาก Gamaredon ไม่นานมาก ซึ่ง Gamaredon ได้แทรกซึมเข้าไปในเครือข่ายขององค์กรบางส่วนแล้ว และ InvisiMole สามารถแทรกซึมต่อเนื่องได้อย่างมีประสิทธิภาพ

การแพร่กระจาย

กลุ่ม InvisiMole ใช้อย่างน้อยวิธีในการแพร่กระจายมัลแวร์และเจาะระบบเครือข่าย:

  • เจาะช่องโหว่ BlueKeep ในโปรโตคอล RDP (CVE-2019-0708)
  • เจาะช่องโหว่ EternalBlue ในโปรโตคอล SMB (CVE-2017-0144)
  • ใช้ไฟล์เอกสารที่แนบไฟล์อันตราย หรือตัวติดตั้งซอฟต์แวร์

Author: Zuzana Hromcová และ Anton Cherepanov
Source: https://www.welivesecurity.com/2020/06/18/digging-up-invisimole-hidden-arsenal/
Translated by: Worapon H.

%d bloggers like this: