Les chercheurs en sécurité ont démystifié la chaîne d’attaque du groupe de cyberespionnage insaisissable InvisiMole, révélant un format complexe à plusieurs étapes qui repose sur des outils légitimes vulnérables, un cryptage spécifique des cibles des charges utiles et une communication furtive.

InvisiMole a accès au réseau cible via Gamaredon, un acteur de la menace lié à la Russie qui mène des opérations de reconnaissance et identifie des systèmes précieux.

Les deux groupes d’attaque sont opérationnels depuis au moins sept ans et malgré leur collaboration, ils sont considérés comme des acteurs de menace distincts en raison de la nette différence dans les tactiques et les techniques d’attaque.

Outils légitimes utilisés dans les chaînes d’attaque

Le malware InvisiMole a été publiquement documenté pour la première fois en 2018, étant classé comme un logiciel espion complexe d’origine indéterminée qui peut suivre la localisation géographique des victimes, espionner via webcam, prendre des captures d’écran, enregistrer de l’audio et voler des documents.

Les versions récemment découvertes utilisent également le Media Transfer Protocol (MTP) pour voler des photos à partir de téléphones mobiles connectés à l’ordinateur infecté.

Zuzana Hromcová, chercheuse sur les logiciels malveillants d’ESET, lors de la conférence sur la sécurité d’ESET Virtual World, a présenté un aperçu de la chaîne d’attaques à plusieurs étapes reconstruite après avoir enquêté sur une campagne qui a commencé en septembre 2019 et continue d’être active.

En collaborant avec les victimes, les chercheurs ont pu cartographier quatre chaînes d’exécution, utilisées selon le niveau de privilège sur la machine compromise et la version Windows installée. La plus longue nécessite six étapes avant de déployer la charge utile finale.

Pour que l’opération ne soit pas détectée, l’acteur de la menace a utilisé des exécutables vulnérables d’outils légitimes, tels que Total Video Player, l’utilitaire SpeedFan ou wdigest.dll dans Windows.

InvisiMole a également utilisé une technique provenant de la fuite de documents CIA Vault 7 qui utilise le Panneau de configuration pour exécuter des éléments malveillants malveillants.

Celles-ci…