Виявлено шпигунське програмне забезпечення InvisiMole, що використовується з 2013 року.
Зловмисники за допомогою InvisiMole легко підключаються до системи, стежать за діями жертви і крадуть її конфіденційну інформацію.
За даними телеметрії ESET, зловмисники, які стоять за розробкою та розповсюдженням цього вірусу, активні як мінімум з 2013 року. Тим не менш, цей інструмент кібершпіонажу не тільки не був вивчений, але і не детектувався до моменту виявлення продуктами ESET на заражених комп’ютерах в Росії і Україні.
InvisiMole має модульну архітектуру, починає свій шлях з DLL-обгортки (wrapper DLL). Далі діють два модулі, вбудовані в його ресурси. Обидва модулі – багатофункціональні бекдори, що дозволяють вірусу зібрати максимум інформації про ціль.
Інсталяція
Перша частина досліджуваного вірусу – DLL-обгортка. DLL поміщається в папку Windows і маскується під легітимний файл бібліотеки mpr.dll з підробленою інформацією про версію.
В коді DLL є вказівки на те, що файл може називатися також fxsst.dll чи winmm.dll.
Перший спосіб запуску вірусу – техніка підміни DLL (DLL hijacking). DLL-обгортка поміщається в ту ж папку, що і explorer.exe, і завантажується при запуску Windows разом з процесом Windows Explorer замість легітимної бібліотеки, розташованої в папці %windir%\system32.
Модуль RC2FM
Перший, менший модуль RC2FM містить бекдор, що підтримує 15 команд. Вони виконуються на зараженому комп’ютері за вказівкою атакуючого. Модуль може вносити різні зміни в системі, а також включає інструменти для кібершпіонажу.
Функціональні можливості
RC2FM підтримує команди для перегляду базової системної інформації та внесення простих змін в систему, а також кілька шпигунських функцій. На вимогу зловмисника модуль може віддалено включати мікрофон на скомпрометованому комп’ютері і записувати аудіо. Запис кодується в форматі MP3 за допомогою бібліотеки lame.dll, яка запускається також шкідливою програмою.
Ще один інструмент для крадіжки даних – скріншоти. Одна з команд бекдора призначена для створення знімків екрану.
Шкідлива програма стежить за всіма вбудованими та зовнішніми дисками, відображеними в локальній системі. При підключенні нового диска вона створює список з усіма файлами і зберігає його в зашифрованому вигляді.
Зібрана інформація буде передана атакуючим після відправки відповідної команди.
Команди бекдора
Нижче представлені ID і опис підтримуваних команд.
2 – Створити, перемістити, перейменувати, виконати або видалити файл, видалити директорію, що використовує заданий шлях
4 – Відкрити файл, встановити покажчик в початок файлу
5 – Закрити раніше відкритий файл
6 – Записати дані в раніше відкритий файл
7 – Змінити файлові атрибути часу / видалити файл
8 – Відкрити файл, встановити покажчик в кінець файлу
10 – Змінити файлові атрибути часу / видалити файл
12 – Знайти файли по заданій масці файлу у вказаній директорії
13 – Зробити скріншот
14 – Завантажити або змінити файли за допомогою внутрішніх даних
15 – Записати звук за допомогою підключених аудіопристроїв, скласти список доступних пристроїв, відправити запис, змінити конфігурацію
16 – Перевірити наявність відкритих файлів в модулі
17 – Оновити список C&C-серверів
19 – Створити, встановити, копіювати, перерахувати або видалити задані ключі реєстру або значення
Модуль RC2CL
Модуль RC2CL- також бекдор з широким списком інструментів шпигунства. Він запускається DLL-обгорткою одночасно з модулем RC2FM. Це більш складний модуль, його функції, скоріше, націлені на максимальний збір інформації, ніж на внесення змін в систему.
Цікаво, що в модулі RC2CL передбачена опція виключення функціоналу бекдора і роботи в якості проксі. В цьому випадку вірус вимикає фаєрвол Windows і створює сервер, який підтримує комунікацію між клієнтом і C&C-сервером або двома клієнтами.
Функціональні можливості
Залежно від отриманої команди бекдор може виконувати різні операції в зараженій системі. Звичайні бекдори виконують маніпуляції з файлової системою і ключами реєстру, підтримують виконання файлів і віддалену активацію Шелл. Дане ПЗ підтримує всі ці команди і навіть більше – 84 команди дозволяють атакуючим зібрати вичерпну інформацію про жертву.
Команди бекдора
Більше вісімдесяти команд бекдора використовують робочу директорію і ключі реєстру для зберігання проміжних результатів і даних конфігурації.
Приблизно третина всіх команд відноситься до читання і оновленню даних конфігурації, що зберігаються в реєстрі. ID і опис команд перераховані нижче.
6 – Завантажити файл
20 – Скласти список активних процесів
22 – Завершити процес по ID
24 – Виконати файл
26 – Видалити файл
28 – Отримати таблицю IP-форвардінга
30 – Записати дані в файл
38 – Скласти список облікових записів
40 – Скласти список служб в системі
42 – Скласти список завантажених драйверів
43 – Зібрати базову системну інформацію (ім’я комп’ютера, версія ОС, статус пам’яті, місцевий час та інформація про диски, інформація про сконфігурованих проксі, поточна політика запобігання виконання даних для системи і процесів та ін.)
44 – Скласти список встановленого ПЗ
46 – Скласти список локальних користувачів і інформація про сеанси
48 – Скласти список додатків, що використовуються користувачами
52 – Створити структуру директорії
78 – Створити віддалений шелл
81 – Виконати команду через віддалений шелл
91 – Включити / виключити контроль облікових записів користувачів
93 – Завершити сеанс користувача / вимкнути / перезапустити систему
101 – Відстежувати і записувати зміни в зазначених директоріях
103 – Видалити директорію
109 – Включити / виключити монітор / включити режим очікування
120 – Зробити скріншот дисплея / активних вікон
126 – Зробити скріншот дисплея / активних вікон і оновити дані конфігурації
130 – Список інформації про ресурси на нерозмічених частинах диска
132 – Перейменувати / перемістити файл, змінити час створення / відкриття / запису файлу на заданий
134 – Скласти список недавно відкритих файлів
152 – Відключити (раніше підключені) знімні диски
155 – Створити / видалити ключ реєстру, встановити / видалити значення ключа реєстру, або перерахувати існуючі значення реєстру / ключів / даних
159, 161 – Вимкнути маршрутизацію / фаєрвол, створити проксі-сервер на певному порті
175 – Обійти контроль облікових записів користувачів для маніпуляцій з файлами
177 – Створити і записати файл, виставити дані про час створення / відкриття / зміни
183 – Скинути компонент додатка WinRAR
185 – Додати файли в запаролений архів (парлоль = «12KsNh92Dwd»)
187 – Розшифрувати, розпакувати і завантажити DLL, завантажити файли .exe з ресурсів RC2CL, RC2FM
189 – Створити точку відновлення системи
191 – Витягти запаролений архів (12KsNh92Dwd)
193 – Змінити зашифрований файл
195 – Запустити знову після завершення основного процесу
199 – Перейменувати / перемістити файл
211 – Завантажити зібрану інформацію (скріншоти, аудіозаписи та ін.)
213 – скласти список активних вікон
218 – API для запису аудіо з пристроїв
220 – API для зйомки фотографій з веб-камери
224 – скласти список файлів, що виконуються при кожному старті системи
226 – скласти список включених бездротових мереж (MAC-адресу, SSID, сигнальний інтервал)
228 – Скинути Zlib пакет
Індикатори компрометації (IOC)
Детектування продуктами ESET
Win32/InvisiMole.B trojan
Win32/InvisiMole.C trojan
Win32/InvisiMole.D trojan
Win64/InvisiMole.B trojan
Win64/InvisiMole.C trojan
Win64/InvisiMole.D trojan
Хеші SHA-1
2FCC87AB226F4A1CC713B13A12421468C82CD586
B6BA65A48FFEB800C29822265190B8EAEA3935B1
C8C4B6BCB4B583BA69663EC3AED8E1E01F310F9F
A5A20BC333F22FD89C34A532680173CBCD287FF8
Імена доменів C&C серверів
advstatecheck.sytes[.]net
akamai.sytes[.]net
statbfnl.sytes[.]net
updchecking.sytes[.]net
IP-адреси C&C-серверів і період активності
2013-2014 – 213.239.220.41
2014-2017 – 46.165.241.129
2014-2016 – 46.165.241.153
2014-2018 – 78.46.35.74
2016-2016 – 95.215.111.109
2016-2018 – 185.118.66.163
2017-2017 – 185.118.67.233
2017-2018 – 185.156.173.92
2018-2018 – 46.165.230.241
2018-2018 – 194.187.249.157
Ключі реєстру і значення
RC2FM
[HKEY_CURRENT_USER\Software\Microsoft\IE\Cache]
“Index”
RC2CL
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Console]
or [HKEY_CURRENT_USER\Software\Microsoft\Direct3D]
“Settings”
“Type”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE]
or [HKEY_CURRENT_USER\Software\Microsoft\Direct3D]
“Common”
“Current”
“ENC”
“FFLT”
“Flag1”
“FlagLF”
“FlagLF2”
“IfData”
“INFO”
“InstallA”
“InstallB”
“LegacyImpersonationNumber”
“LM”
“MachineAccessStateData”
“MachineState 0”
“RPT”
“SP2”
“SP3”
“SettingsMC”
“SettingsSR1”
“SettingsSR2”
Файли і папки
RC2FM
%APPDATA%\Microsoft\Internet Explorer\Cache\AMB6HER8\
%volumeSerialNumber%.dat
content.dat
cache.dat
index.dat
%APPDATA%\Microsoft\Internet Explorer\Cache\MX0ROSB1\
content.dat
index.dat
%random%.%ext%
%APPDATA%\Microsoft\Internet Explorer\Cache\index0.dat
RC2CL
comment.txt
descript.ion
Default.SFX
WinRAR.exe
main.ico
fl_%timestamp%\strcn%num%\
fdata.dat
index.dat
~mrc_%random%.tmp
~src_%random%.tmp
~wbc_%random%.tmp
sc\~sc%random%.tmp
~zlp\zdf_%random%.data
~lcf\tfl_%random%
Корисні посилання:
https://www.welivesecurity.com/2018/06/07/invisimole-equipped-spyware-undercover/
https://habr.com/company/eset/blog/414419/
https://github.com/eset/malware-ioc/tree/master/invisimole
Автор публікації
