Наші новини


Дізнайтеся першими про результати нашої роботи та останні новини
в сфері інформаційної безпеки

nylY8XCvKVIK2CHxhXxS0wn6RqleKeOnxO9czzda.jpeg

 

Виявлено шпигунське програмне забезпечення InvisiMole, що використовується з 2013 року.

Зловмисники за допомогою InvisiMole легко підключаються до системи, стежать за діями жертви і крадуть її конфіденційну інформацію.

За даними телеметрії ESET, зловмисники, які стоять за розробкою та розповсюдженням цього вірусу, активні як мінімум з 2013 року. Тим не менш, цей інструмент кібершпіонажу не тільки не був вивчений, але і не детектувався до моменту виявлення продуктами ESET на заражених комп'ютерах в Росії і Україні.

 

InvisiMole має модульну архітектуру, починає свій шлях з DLL-обгортки (wrapper DLL), далі діють два модулі, вбудовані в його ресурси. Обидва модулі - багатофункціональні бекдори, що дозволяють вірусу зібрати максимум інформації про ціль.

 

Інсталяція

Перша частина досліджуваного вірусу - DLL-обгортка. DLL поміщається в папку Windows і маскується під легітимний файл бібліотеки mpr.dll з підробленою інформацією про версію. 

В коді DLL є вказівки на те, що файл може називатися також fxsst.dll чи winmm.dll.

Перший спосіб запуску вірусу - техніка підміни DLL (DLL hijacking). DLL-обгортка поміщається в ту ж папку, що і explorer.exe, і завантажується при запуску Windows разом з процесом Windows Explorer замість легітимної бібліотеки, розташованої в папці %windir%\system32.

 

Модуль RC2FM

Перший, менший модуль RC2FM містить бекдор, що підтримує 15 команд. Вони виконуються на зараженому комп'ютері за вказівкою атакуючого. Модуль може вносити різні зміни в системі, а також включає інструменти для кібершпіонажу.

Функціональні можливості

RC2FM підтримує команди для перегляду базової системної інформації та внесення простих змін в систему, а також кілька шпигунських функцій. На вимогу зловмисника модуль може віддалено включати мікрофон на скомпрометованому комп'ютері і записувати аудіо. Запис кодується в форматі MP3 за допомогою бібліотеки lame.dll, яка запускається також шкідливою програмою.
Ще один інструмент для крадіжки даних – скріншоти. Одна з команд бекдора призначена для створення знімків екрану.

Шкідлива програма стежить за всіма вбудованими та зовнішніми дисками, відображеними в локальній системі. При підключенні нового диска вона створює список з усіма файлами і зберігає його в зашифрованому вигляді.

Зібрана інформація буде передана атакуючим після відправки відповідної команди.

Команди бекдора

Нижче представлені ID і опис підтримуваних команд.

0 - Скласти списки відображаємих дисків, файлів в папці, загальних мережевих ресурсів
2 - Створити, перемістити, перейменувати, виконати або видалити файл, видалити директорію, що використовує заданий шлях
4 - Відкрити файл, встановити покажчик в початок файлу
5 - Закрити раніше відкритий файл
6 - Записати дані в раніше відкритий файл
7 - Змінити файлові атрибути часу / видалити файл
8 - Відкрити файл, встановити покажчик в кінець файлу
10 - Змінити файлові атрибути часу / видалити файл
12 - Знайти файли по заданій масці файлу у вказаній директорії
13 - Зробити скріншот
14 - Завантажити або змінити файли за допомогою внутрішніх даних
15 - Записати звук за допомогою підключених аудіопристроїв, скласти список доступних пристроїв, відправити запис, змінити конфігурацію
16 - Перевірити наявність відкритих файлів в модулі
17 - Оновити список C&C-серверів
19 - Створити, встановити, копіювати, перерахувати або видалити задані ключі реєстру або значення
 

 

Модуль RC2CL

Модуль RC2CL- також бекдор з широким списком інструментів шпигунства. Він запускається DLL-обгорткою одночасно з модулем RC2FM. Це більш складний модуль, його функції, скоріше, націлені на максимальний збір інформації, ніж на внесення змін в систему.

Цікаво, що в модулі RC2CL передбачена опція виключення функціоналу бекдора і роботи в якості проксі. В цьому випадку вірус вимикає фаєрвол Windows і створює сервер, який підтримує комунікацію між клієнтом і C&C-сервером або двома клієнтами.

Функціональні можливості

Залежно від отриманої команди бекдор може виконувати різні операції в зараженій системі. Звичайні бекдори виконують маніпуляції з файлової системою і ключами реєстру, підтримують виконання файлів і віддалену активацію Шелл. Дане ПЗ підтримує всі ці команди і навіть більше - 84 команди дозволяють атакуючим зібрати вичерпну інформацію про жертву.

 

Команди бекдора

Більше вісімдесяти команд бекдора використовують робочу директорію і ключі реєстру для зберігання проміжних результатів і даних конфігурації.

Приблизно третина всіх команд відноситься до читання і оновленню даних конфігурації, що зберігаються в реєстрі. ID і опис команд перераховані нижче.

4 - Скласти список інформації про файли в директорії
6 - Завантажити файл
20 - Скласти список активних процесів
22 - Завершити процес по ID
24 - Виконати файл
26 - Видалити файл
28 - Отримати таблицю IP-форвардінга
30 - Записати дані в файл
38 - Скласти список облікових записів
40 - Скласти список служб в системі
42 - Скласти список завантажених драйверів
43 - Зібрати базову системну інформацію (ім'я комп'ютера, версія ОС, статус пам'яті, місцевий час та інформація про диски, інформація про сконфігурованих проксі, поточна політика запобігання виконання даних для системи і процесів та ін.)
44 - Скласти список встановленого ПЗ
46 - Скласти список локальних користувачів і інформація про сеанси
48 - Скласти список додатків, що використовуються користувачами
52 - Створити структуру директорії
78 - Створити віддалений шелл
81 - Виконати команду через віддалений шелл
91 - Включити / виключити контроль облікових записів користувачів
93 - Завершити сеанс користувача / вимкнути / перезапустити систему
101 - Відстежувати і записувати зміни в зазначених директоріях
103 - Видалити директорію
109 - Включити / виключити монітор / включити режим очікування
120 - Зробити скріншот дисплея / активних вікон
126 - Зробити скріншот дисплея / активних вікон і оновити дані конфігурації
130 - Список інформації про ресурси на нерозмічених частинах диска
132 - Перейменувати / перемістити файл, змінити час створення / відкриття / запису файлу на заданий
134 - Скласти список недавно відкритих файлів
152 - Відключити (раніше підключені) знімні диски
155 - Створити / видалити ключ реєстру, встановити / видалити значення ключа реєстру, або перерахувати існуючі значення реєстру / ключів / даних
159, 161 - Вимкнути маршрутизацію / фаєрвол, створити проксі-сервер на певному порті
175 - Обійти контроль облікових записів користувачів для маніпуляцій з файлами
177 - Створити і записати файл, виставити дані про час створення / відкриття / зміни
183 - Скинути компонент додатка WinRAR
185 - Додати файли в запаролений архів (парлоль = «12KsNh92Dwd»)
187 - Розшифрувати, розпакувати і завантажити DLL, завантажити файли .exe з ресурсів RC2CL, RC2FM
189 - Створити точку відновлення системи
191 - Витягти запаролений архів (12KsNh92Dwd)
193 - Змінити зашифрований файл
195 - Запустити знову після завершення основного процесу
199 - Перейменувати / перемістити файл
211 - Завантажити зібрану інформацію (скріншоти, аудіозаписи та ін.)
213 - скласти список активних вікон
218 - API для запису аудіо з пристроїв
220 - API для зйомки фотографій з веб-камери
224 - скласти список файлів, що виконуються при кожному старті системи
226 - скласти список включених бездротових мереж (MAC-адресу, SSID, сигнальний інтервал)
228 - Скинути Zlib пакет


Індикатори компрометації (IOC)

Детектування продуктами ESET

Win32/InvisiMole.A trojan
Win32/InvisiMole.B trojan
Win32/InvisiMole.C trojan
Win32/InvisiMole.D trojan
Win64/InvisiMole.B trojan
Win64/InvisiMole.C trojan
Win64/InvisiMole.D trojan

 

Хеші SHA-1

5EE6E0410052029EAFA10D1669AE3AA04B508BF9
2FCC87AB226F4A1CC713B13A12421468C82CD586
B6BA65A48FFEB800C29822265190B8EAEA3935B1
C8C4B6BCB4B583BA69663EC3AED8E1E01F310F9F
A5A20BC333F22FD89C34A532680173CBCD287FF8

 

Імена доменів C&C серверів

activationstate.sytes[.]net
advstatecheck.sytes[.]net
akamai.sytes[.]net
statbfnl.sytes[.]net
updchecking.sytes[.]net

 

IP-адреси C&C-серверів і період активності

2013-2014 - 46.165.231.85
2013-2014 - 213.239.220.41
2014-2017 - 46.165.241.129
2014-2016 - 46.165.241.153
2014-2018 - 78.46.35.74
2016-2016 - 95.215.111.109
2016-2018 - 185.118.66.163
2017-2017 - 185.118.67.233
2017-2018 - 185.156.173.92
2018-2018 - 46.165.230.241
2018-2018 - 194.187.249.157

 

Ключі реєстру і значення

RC2FM

[HKEY_CURRENT_USER\Software\Microsoft\IE\Cache]
"Index"

 

RC2CL

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Console]
or [HKEY_CURRENT_USER\Software\Microsoft\Direct3D]
"Settings"
"Type"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE]
or [HKEY_CURRENT_USER\Software\Microsoft\Direct3D]
"Common"
"Current"
"ENC"
"FFLT"
"Flag1"
"FlagLF"
"FlagLF2"
"IfData"
"INFO"
"InstallA"
"InstallB"
"LegacyImpersonationNumber"
"LM"
"MachineAccessStateData"
"MachineState 0"
"RPT"
"SP2"
"SP3"
"SettingsMC"
"SettingsSR1"
"SettingsSR2"

 

Файли і папки

RC2FM

%APPDATA%\Microsoft\Internet Explorer\Cache\AMB6HER8\
%volumeSerialNumber%.dat
content.dat
cache.dat
index.dat
%APPDATA%\Microsoft\Internet Explorer\Cache\MX0ROSB1\
content.dat
index.dat
%random%.%ext%
%APPDATA%\Microsoft\Internet Explorer\Cache\index0.dat

 

RC2CL

Winrar\
comment.txt
descript.ion
Default.SFX
WinRAR.exe
main.ico
fl_%timestamp%\strcn%num%\
fdata.dat
index.dat
~mrc_%random%.tmp
~src_%random%.tmp
~wbc_%random%.tmp
sc\~sc%random%.tmp
~zlp\zdf_%random%.data
~lcf\tfl_%random%

 

Корисні посилання:

https://www.welivesecurity.com/2018/06/07/invisimole-equipped-spyware-undercover/

https://habr.com/company/eset/blog/414419/

https://github.com/eset/malware-ioc/tree/master/invisimole

 

 

Повідомити про інцидент