Une nouvelle campagne d’espionnage menée par le groupe InvisiMole a permis aux chercheurs d’ESET de découvrir leurs outils et une coopération stratégique avec le groupe Gamaredon.

En enquêtant sur une nouvelle campagne d’InvisiMole, un groupe de pirates signalé pour la première fois par ESET en 2018, les chercheurs d’ESET ont découvert la boîte à outils actualisée du groupe ainsi que des informations précédemment inconnues sur son mode de fonctionnement. Les conclusions sont le fruit d’une enquête menée en collaboration avec les entités concernées. Le groupe InvisiMole a refait surface pour une nouvelle campagne avec un ensemble d’outils actualisés ciblant plusieurs organisations de haut niveau dans le secteur militaire et les missions diplomatiques en Europe de l’Est. Selon les données d’ESET, les tentatives d’attaque se sont poursuivies de fin 2019 jusqu’à au moins juin 2020, date à laquelle les chercheurs d’ESET ont publié leurs conclusions.

Des opérations de cyberespionnage ciblées en Ukraine et en Russie

Actif depuis au moins 2013, le groupe InvisiMole a été signalé pour la première fois par ESET dans le cadre d’opérations de cyberespionnage ciblées en Ukraine et en Russie, à l’aide de deux portes dérobées intégrant des fonctionnalités enrichies pour espionner les victimes. Grâce à l’enquête menée en coopération avec les organisations concernées, les chercheurs d’ESET ont eu l’occasion d’effectuer des analyses approfondies des campagnes d’InvisiMole.

L’une des principales conclusions de l’enquête concerne la coopération du groupe InvisiMole avec Gamaredon, un autre groupe de pirates. Les chercheurs ont découvert que l’arsenal d’InvisiMole n’a été utilisé qu’après que Gamaredon ait déjà infiltré un réseau ciblé, et ait éventuellement réussi à obtenir des privilèges administrateur. Le groupe utilise des portes dérobées et des analyseurs de fichiers pour identifier et collecter des documents sensibles dans un système compromis, afin de les télécharger sur un serveur de commande et de contrôle. Ces analyseurs de fichiers possèdent également des fonctions d'exécution de code arbitraire à partir du serveur de commande et de contrôle.

InvisiMole utilise quatre chaînes d’infection différentes

Les chercheurs ont découvert que pour ce faire, InvisiMole utilise quatre chaînes d’infection différentes, élaborées en combinant un shellcode malveillant avec des outils légitimes et des exécutables vulnérables. Pour éviter que les chercheurs en sécurité ne découvrent le malware, les composants d’InvisiMole sont protégés par un chiffrement spécifique à chaque victime, garantissant ainsi que le code malveillant ne puisse être déchiffré et exécuté que sur l’ordinateur concerné. L’ensemble d’outils actualisés d’InvisiMole comporte également un nouveau composant qui utilise le tunneling DNS pour une communication plus furtive avec le serveur de commande et de contrôle. En analysant la boîte à outils actualisée du groupe, les chercheurs ont observé des améliorations substantielles par rapport aux versions précédemment analysées.

Pour plus d’informations :  www.eset.com/fr/  Blog :  www.welivesecurity.com/fr/   

Crédits photos ESET