У новій кампанії кіберзлочинці InvisiMole використовували оновлені інструменти, спрямовані на декілька організацій у військовому секторі та дипломатичні представництва у Східній Європі. Відповідно до даних телеметрії ESET, спроби атак тривали з кінця 2019 року та принаймні до червня 2020 року.
Групу кіберзлочинців InvisiMole, яка активна щонайменше з 2013 року, було вперше описано у зв’язку з цілеспрямованими операціями з використанням шпигунського програмного забезпечення в Україні та Росії. Зокрема, зловмисники використовували два багатофункціональних бекдора для шпигування за жертвами.
“Тоді ми виявили ці неочікувано потужні бекдори, але значна частина картинки була відсутня — ми не знали, як їх доставляють, поширюють та встановлюють у системі”, — пояснює Зузана Хромцова, дослідниця ESET, яка аналізувала InvisiMole.
Одним з головних висновків, які були отримані в ході дослідження, стала співпраця InvisiMole з іншою групою кіберзлочинців — Gamaredon. Дослідники виявили арсенал InvisiMole лише після того, як Gamaredon вже проник у мережу, яка цікавила зловмисників та, можливо, отримав права адміністратора.
“Результати дослідження свідчать про те, що на цілях, які зловмисники вважають особливо важливими, спочатку використовують відносно просте шкідливе програмне забезпечення Gamaredon, а потім переходять до більш складної та сучасної загрози InvisiMole. Це дозволяє групі InvisiMole розробити нові способи для уникнення виявлення”, — коментує Зузана Хромцова.
Дослідники також виявили, що для уникнення виявлення InvisiMole використовує чотири різні ланцюги виконання, створених шляхом поєднання шкідливого shell-коду із легітимними інструментами та уразливими виконуваними файлами. Щоб приховати шкідливе програмне забезпечення від дослідників з безпеки, компоненти InvisiMole захищені шифруванням, яке є унікальним для кожної жертви та гарантує, що компонент можна розшифрувати та виконати лише на інфікованому комп’ютері. Оновлений набір інструментів InvisiMole також містить новий компонент, який використовує тунелювання DNS для більш стійкого зв’язку з командним сервером (C&C).
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ОГЛЯД УСІХ ПЛАНШЕТІВ ВІД APPLE: ЯКИЙ IPAD ВАРТИЙ ВАШОЇ УВАГИ?
ЯК ЛЕГКО ПЕРЕЙТИ З ANDROID НА IOS? ІНСТРУКЦІЯ
ЯК ШУКАТИ ТА ВІДКРИВАТИ БУДЬ-ЯКІ ФАЙЛИ НА ВАШОМУ КОМП’ЮТЕРІ ЧЕРЕЗ КОМАНДНИЙ РЯДОК?
ОГЛЯД П’ЯТИ ФУНКЦІЙ ANDROID 11, ЧЕРЕЗ ЯКІ ВАРТО ОНОВИТИСЯ
ЯК ПЕРЕВІРИТИ ОПЕРАТИВНУ ПАМ’ЯТЬ НА ПОМИЛКИ ТА ВИПРАВИТИ ЇХ? – ІНСТРУКЦІЯ
Нагадаємо, в Україні розпочав роботу новий електронний сервіс check.gov.ua, який дозволяє перевіряти оплату державних послуг онлайн без надання паперових квитанцій. За допомогою сервісу можна перевіряти квитанції в електронній формі, а не надавати їх в паперовому вигляді з мокрою печаткою до відповідних державних органів.
Зауважте, 39-річний мешканець села Олешник, що на Закарпатті, розробив шкідливе програмне забезпечення для зламу екаунтів користувачів соцмереж. Придбавши програму через створений чоловіком канал у загальнодоступному месенджері, та встановивши на свій гаджет, клієнти отримували змогу зламувати мережеві екаунти користувачів соцмереж.
Також Facebook тестує нову функцію для Messenger, яка дозволяє краще захищати Ваші повідомлення від сторонніх очей. Користувачеві потрібно буде підтвердити свою особу, використовуючи Face ID, Touch ID або свій пароль, перш ніж він зможе переглянути свою папку “Вхідні”, навіть якщо телефон уже розблокований.
Окрім цього, Twitter оголосив, що видалив понад 30 000 облікових записів, які проводили державну пропаганду. Ідентифікована як така, що належить Китаю, найбільша з трьох мереж містила 23 750 облікових записів. Мережа займалася цілою низкою маніпулятивних скоординованих заходів, в основному використовуючи різні китайські мови та діалекти для поширення геополітичних наративів, сприятливих для Комуністичної партії Китаю.
До речі, останні оновлення для Windows 10 підвищують безпеку платформи, але, на жаль, вони також містять неприємні помилки, які роблять неможливим друк, викликаючи збої у принтерів. Звіти користувачів на Reddit та форумі Microsoft Answers показують, що проблема стосується різних моделей принтерів HP, Canon, Panasonic, Brother та Ricoh.
