Invisimole Spyware是一个强大的恶意软件,未被发现至少五年

ESET的恶意软件研究人员已经发现了一件新的复杂的间谍软件,被追踪为Invisimole,在过去的五年中用于俄罗斯和乌克兰的有针对性的攻击。

专家还没有避风港’t将恶意软件归功于 any threat actor, InvisiMole could be a nation-state malware developed for cyber espionage purpose or the result of a development of a financially-motivated group.

该研究人员在野外发现了几十个样本,恶意代码实现了广泛的功能,感谢其模块化架构,使威胁非常通用。

“我们的遥测表明,此恶意软件背后的恶意演员至少自2013年以来一直活跃,但是 网络 - 间谍 在乌克兰和俄罗斯的受损计算机上发现,从未分析过工具也不会被分析,直到ESET产品发现。”阅读ESET发布的报告。”该活动高度目标 - 难怪恶意软件有低感染率,只有几十台计算机受到影响。”

当专家们还有避风港’T发现了攻击向量,没有关于所涉及的广告系列类型的信息。

专家们不’T排除任何感染矢量,包括通过对机器的物理访问促进的安装。

Invisimole Spyware的模块化结构由包装器DLL组成,它利用了嵌入其资源中的另外两个后台模块来进行其活动。

根据研究人员,Invisimole间谍软件的作者已经删除了任何可以将恶意软件归因于特定演员的线索,所以独特的异常由单个文件的汇编数据表示(约会到2013年10月13日)。作者已删除所有剩余文件的编译日期。

主模块称为RC2FM,并支持15个命令,允许攻击者搜索和抵消受感染系统的数据。

RC2FM支持收集系统信息并对系统执行简单更改的命令,它还包括间谍软件功能,如麦克风和用户的控制’s webcam.

第二个模块被称为RC2CL,比RC2FM更高,更先进,它能够从浏览器中提取代理设置,并使用这些配置将数据发送到C&C服务器在存在代理。

“此模块与C通信&c服务器,要么是硬件 样本,或以后更新攻击者。”继续分析。

“此外,模块能够伸向C.&C服务器即使在受感染的计算机上配置了代理。如果直接连接不成功,则模块会尝试连接到其中的任何一个&C服务器使用为各种浏览器(Firefox,Pale Moon和Opera配置的本地配置的代理或代理)。”

RC2CL模块支持84个后门命令并实现几乎所有的间谍软件功能,包括运行远程shell命令的功能,注册表项操作,文件执行,获取本地应用程序列表,加载驱动程序,获取网络信息,禁用UAC和转动关闭Windows防火墙。

RC2CL还可以通过麦克风录制音频并通过网络摄像头拍摄屏幕截图,同样地,Invisimole Spyware可以使用第一个模块执行。

RC2CL模块还实现了安全删除的功能,以避免法医调查。

“恶意软件作者如何尝试采取行动的另一个例子是它们对待磁盘上留下的迹线的方式。恶意软件收集敏感数据的负载,然后临时存储在文件中并在已成功上传到C之后删除&C servers。甚至但是,删除的文件可以由经验丰富的系统管理员恢复,这可以帮助 进一步对攻击的调查 - 受害者意识到这一点。“continues那个报告。

“即使在删除文件之后,某些数据仍然驻留在磁盘上也是可能的。为防止此操作,恶意软件有能力安全删除所有文件,这意味着它首先将数据覆盖在文件中的文件中或随机 字节,只有这样的文件才会删除。”

与威胁相关的IOC的完整列表 在github上发现。

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请