Виявлено шпигунське програмне забезпечення InvisiMole

Виявлено шпигунське програмне забезпечення InvisiMole, що використовується з 2013 року.

Зловмисники за допомогою InvisiMole легко підключаються до системи, стежать за діями жертви і крадуть її конфіденційну інформацію.

За даними телеметрії ESET, зловмисники, які стоять за розробкою та розповсюдженням цього вірусу, активні як мінімум з 2013 року. Тим не менш, цей інструмент кібершпіонажу не тільки не був вивчений, але і не детектувався до моменту виявлення продуктами ESET на заражених комп’ютерах в Росії і Україні.

 

InvisiMole має модульну архітектуру, починає свій шлях з DLL-обгортки (wrapper DLL). Далі діють два модулі, вбудовані в його ресурси. Обидва модулі – багатофункціональні бекдори, що дозволяють вірусу зібрати максимум інформації про ціль.

 Інсталяція

Перша частина досліджуваного вірусу – DLL-обгортка. DLL поміщається в папку Windows і маскується під легітимний файл бібліотеки mpr.dll з підробленою інформацією про версію.

В коді DLL є вказівки на те, що файл може називатися також fxsst.dll чи winmm.dll.

Перший спосіб запуску вірусу – техніка підміни DLL (DLL hijacking). DLL-обгортка поміщається в ту ж папку, що і explorer.exe, і завантажується при запуску Windows разом з процесом Windows Explorer замість легітимної бібліотеки, розташованої в папці %windir%\system32.

 Модуль RC2FM

Перший, менший модуль RC2FM містить бекдор, що підтримує 15 команд. Вони виконуються на зараженому комп’ютері за вказівкою атакуючого. Модуль може вносити різні зміни в системі, а також включає інструменти для кібершпіонажу.

Функціональні можливості

RC2FM підтримує команди для перегляду базової системної інформації та внесення простих змін в систему, а також кілька шпигунських функцій. На вимогу зловмисника модуль може віддалено включати мікрофон на скомпрометованому комп’ютері і записувати аудіо. Запис кодується в форматі MP3 за допомогою бібліотеки lame.dll, яка запускається також шкідливою програмою.
Ще один інструмент для крадіжки даних – скріншоти. Одна з команд бекдора призначена для створення знімків екрану.

Шкідлива програма стежить за всіма вбудованими та зовнішніми дисками, відображеними в локальній системі. При підключенні нового диска вона створює список з усіма файлами і зберігає його в зашифрованому вигляді.

Зібрана інформація буде передана атакуючим після відправки відповідної команди.

Команди бекдора

Нижче представлені ID і опис підтримуваних команд.

0 – Скласти списки відображаємих дисків, файлів в папці, загальних мережевих ресурсів
2 – Створити, перемістити, перейменувати, виконати або видалити файл, видалити директорію, що використовує заданий шлях
4 – Відкрити файл, встановити покажчик в початок файлу
5 – Закрити раніше відкритий файл
6 – Записати дані в раніше відкритий файл
7 – Змінити файлові атрибути часу / видалити файл
8 – Відкрити файл, встановити покажчик в кінець файлу
10 – Змінити файлові атрибути часу / видалити файл
12 – Знайти файли по заданій масці файлу у вказаній директорії
13 – Зробити скріншот
14 – Завантажити або змінити файли за допомогою внутрішніх даних
15 – Записати звук за допомогою підключених аудіопристроїв, скласти список доступних пристроїв, відправити запис, змінити конфігурацію
16 – Перевірити наявність відкритих файлів в модулі
17 – Оновити список C&C-серверів
19 – Створити, встановити, копіювати, перерахувати або видалити задані ключі реєстру або значення

Модуль RC2CL

Модуль RC2CL- також бекдор з широким списком інструментів шпигунства. Він запускається DLL-обгорткою одночасно з модулем RC2FM. Це більш складний модуль, його функції, скоріше, націлені на максимальний збір інформації, ніж на внесення змін в систему.

Цікаво, що в модулі RC2CL передбачена опція виключення функціоналу бекдора і роботи в якості проксі. В цьому випадку вірус вимикає фаєрвол Windows і створює сервер, який підтримує комунікацію між клієнтом і C&C-сервером або двома клієнтами.

Функціональні можливості

Залежно від отриманої команди бекдор може виконувати різні операції в зараженій системі. Звичайні бекдори виконують маніпуляції з файлової системою і ключами реєстру, підтримують виконання файлів і віддалену активацію Шелл. Дане ПЗ підтримує всі ці команди і навіть більше – 84 команди дозволяють атакуючим зібрати вичерпну інформацію про жертву.

Команди бекдора

Більше вісімдесяти команд бекдора використовують робочу директорію і ключі реєстру для зберігання проміжних результатів і даних конфігурації.

Приблизно третина всіх команд відноситься до читання і оновленню даних конфігурації, що зберігаються в реєстрі. ID і опис команд перераховані нижче.

4 – Скласти список інформації про файли в директорії
6 – Завантажити файл
20 – Скласти список активних процесів
22 – Завершити процес по ID
24 – Виконати файл
26 – Видалити файл
28 – Отримати таблицю IP-форвардінга
30 – Записати дані в файл
38 – Скласти список облікових записів
40 – Скласти список служб в системі
42 – Скласти список завантажених драйверів
43 – Зібрати базову системну інформацію (ім’я комп’ютера, версія ОС, статус пам’яті, місцевий час та інформація про диски, інформація про сконфігурованих проксі, поточна політика запобігання виконання даних для системи і процесів та ін.)
44 – Скласти список встановленого ПЗ
46 – Скласти список локальних користувачів і інформація про сеанси
48 – Скласти список додатків, що використовуються користувачами
52 – Створити структуру директорії
78 – Створити віддалений шелл
81 – Виконати команду через віддалений шелл
91 – Включити / виключити контроль облікових записів користувачів
93 – Завершити сеанс користувача / вимкнути / перезапустити систему
101 – Відстежувати і записувати зміни в зазначених директоріях
103 – Видалити директорію
109 – Включити / виключити монітор / включити режим очікування
120 – Зробити скріншот дисплея / активних вікон
126 – Зробити скріншот дисплея / активних вікон і оновити дані конфігурації
130 – Список інформації про ресурси на нерозмічених частинах диска
132 – Перейменувати / перемістити файл, змінити час створення / відкриття / запису файлу на заданий
134 – Скласти список недавно відкритих файлів
152 – Відключити (раніше підключені) знімні диски
155 – Створити / видалити ключ реєстру, встановити / видалити значення ключа реєстру, або перерахувати існуючі значення реєстру / ключів / даних
159, 161 – Вимкнути маршрутизацію / фаєрвол, створити проксі-сервер на певному порті
175 – Обійти контроль облікових записів користувачів для маніпуляцій з файлами
177 – Створити і записати файл, виставити дані про час створення / відкриття / зміни
183 – Скинути компонент додатка WinRAR
185 – Додати файли в запаролений архів (парлоль = «12KsNh92Dwd»)
187 – Розшифрувати, розпакувати і завантажити DLL, завантажити файли .exe з ресурсів RC2CL, RC2FM
189 – Створити точку відновлення системи
191 – Витягти запаролений архів (12KsNh92Dwd)
193 – Змінити зашифрований файл
195 – Запустити знову після завершення основного процесу
199 – Перейменувати / перемістити файл
211 – Завантажити зібрану інформацію (скріншоти, аудіозаписи та ін.)
213 – скласти список активних вікон
218 – API для запису аудіо з пристроїв
220 – API для зйомки фотографій з веб-камери
224 – скласти список файлів, що виконуються при кожному старті системи
226 – скласти список включених бездротових мереж (MAC-адресу, SSID, сигнальний інтервал)
228 – Скинути Zlib пакет

Індикатори компрометації (IOC)

Детектування продуктами ESET

Win32/InvisiMole.A trojan
Win32/InvisiMole.B trojan
Win32/InvisiMole.C trojan
Win32/InvisiMole.D trojan
Win64/InvisiMole.B trojan
Win64/InvisiMole.C trojan
Win64/InvisiMole.D trojan

Хеші SHA-1

5EE6E0410052029EAFA10D1669AE3AA04B508BF9
2FCC87AB226F4A1CC713B13A12421468C82CD586
B6BA65A48FFEB800C29822265190B8EAEA3935B1
C8C4B6BCB4B583BA69663EC3AED8E1E01F310F9F
A5A20BC333F22FD89C34A532680173CBCD287FF8

Імена доменів C&C серверів

activationstate.sytes[.]net
advstatecheck.sytes[.]net
akamai.sytes[.]net
statbfnl.sytes[.]net
updchecking.sytes[.]net

IP-адреси C&C-серверів і період активності

2013-2014 – 46.165.231.85
2013-2014 – 213.239.220.41
2014-2017 – 46.165.241.129
2014-2016 – 46.165.241.153
2014-2018 – 78.46.35.74
2016-2016 – 95.215.111.109
2016-2018 – 185.118.66.163
2017-2017 – 185.118.67.233
2017-2018 – 185.156.173.92
2018-2018 – 46.165.230.241
2018-2018 – 194.187.249.157

Ключі реєстру і значення

RC2FM

[HKEY_CURRENT_USER\Software\Microsoft\IE\Cache]
“Index”

 

RC2CL

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Console]
or [HKEY_CURRENT_USER\Software\Microsoft\Direct3D]
“Settings”
“Type”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE]
or [HKEY_CURRENT_USER\Software\Microsoft\Direct3D]
“Common”
“Current”
“ENC”
“FFLT”
“Flag1”
“FlagLF”
“FlagLF2”
“IfData”
“INFO”
“InstallA”
“InstallB”
“LegacyImpersonationNumber”
“LM”
“MachineAccessStateData”
“MachineState 0”
“RPT”
“SP2”
“SP3”
“SettingsMC”
“SettingsSR1”
“SettingsSR2”

Файли і папки

RC2FM

%APPDATA%\Microsoft\Internet Explorer\Cache\AMB6HER8\
%volumeSerialNumber%.dat
content.dat
cache.dat
index.dat
%APPDATA%\Microsoft\Internet Explorer\Cache\MX0ROSB1\
content.dat
index.dat
%random%.%ext%
%APPDATA%\Microsoft\Internet Explorer\Cache\index0.dat

 

RC2CL

Winrar\
comment.txt
descript.ion
Default.SFX
WinRAR.exe
main.ico
fl_%timestamp%\strcn%num%\
fdata.dat
index.dat
~mrc_%random%.tmp
~src_%random%.tmp
~wbc_%random%.tmp
sc\~sc%random%.tmp
~zlp\zdf_%random%.data
~lcf\tfl_%random%

 

Корисні посилання:

https://www.welivesecurity.com/2018/06/07/invisimole-equipped-spyware-undercover/

https://habr.com/company/eset/blog/414419/

https://github.com/eset/malware-ioc/tree/master/invisimole

0

Автор публікації

Офлайн 4 тижні

Ihor Romanets

0
Коментарі: 0Публікації: 203Реєстрація: 02-10-2017