Группировка InvisiMole атаковала украинские организации

Группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) сообщила о текущих фишинговых кампаниях киберпреступной группировки InvisiMole (также известной как UAC-0035), нацеленных на украинские организации. Хакеры распространяют среди жертв бэкдор LoadEdge.

По данным CERT-UA, фишинговые письма содержат архив 501_25_103.zip и файл ярлыка (LNK). При открытии файл HTML-приложения (HTA) загружает и выполняет скрипт VBScript, предназначенный для установки LoadEdge.

LoadEdge – бекдор, написанный на языке программирования C++. Вредонос поддерживает команды fileEx, copyOverNw, diskops, disks, download, upload, getconf, setinterval, startr, killr, kill. Функционал программы включает сбор информации о дисках, загрузку и скачивание файлов, операции с файловой системой и удаление.

Как только бэкдор устанавливает связь с командным сервером InvisiMole, начинается установка и запуск других полезных нагрузок, включая TunnelMole и бэкдор-модули для сбора информации RC2FM и RC2CL. Персистентность обеспечивается HTA-файлом путем создания записи в ветке Run регистра Windows.

InvisiMole была обнаружена исследователями ESET в 2018 году. Злоумышленники активны как минимум с 2013 года и были связаны с атаками на крупные организации в Восточной Европе, занимающиеся военной деятельностью и дипломатическими миссиями. В 2020 году исследователи в области кибербезопасности связали группировку InvisiMole с APT Gamaredon (также известной как Armageddon, Primitive Bear и ACTINIUM).

Группировка Gamaredon, предположительно связанная с Россией, с октября 2021 года организовывает фишинговые атаки на украинские предприятия и организации.