行业新闻与博客

ESET 在对间谍组织进行的一项新战役进行调查之后，已经对难以捉摸的 InvisiMole 组织的运营和方法进行了深入了解。在这次运动中，该组织的目标是从 2019年末到 2020年6月至少在东欧一些知名的军事和外交机构。

ESET 调查人员发现，InvisiMole 与另一位网络威胁演员 Gamaredon 合作，帮助其进行了攻击。在 InvisiMole 介入以启动恶意软件之前，Gamaredon 将渗透到感兴趣的网络中，从而有可能获得管理特权。

ESET 研究人员 ZuzanaHromcová解释说：“我们的研究表明，攻击者认为特别重要的目标已从相对简单的 Gamaredon 恶意软件升级为高级 InvisiMole 恶意软件。这使 InvisiMole 小组可以设计出在雷达下进行操作的创新方法。”

该团队还发现了 InvisiMole 使用的四个不同的执行链，这些链是通过将恶意 Shellcode 与合法工具和易受攻击的可执行程序结合而成的。该组织的恶意软件可以通过逐受害者加密保护组件而保持隐藏状态，这意味着有效负载只能在受影响的计算机上解密和执行。还发现 InvisiMole 具有使用 DNS 隧道进行更隐秘的 C＆C 通信的新组件。

负责调查的 ESET 恶意软件研究人员 Anton Cherepanov 指出：“我们能够记录用于 InvisiMole 后门的传送，横向移动和执行的广泛工具集。”

据了解，InvisiMole 自 2013年以来一直活跃，并且与乌克兰和俄罗斯的网络间谍活动有关，包括使用两个功能丰富的后门来监视受害者。新分析强调了该组织如何显着提高其进行网络间谍活动的能力。

Hromcová补充说：“有了这些新知识，我们将能够更加密切地追踪该组织的恶意活动。”

本文由机器译制