I black hacker di InvisiMole stanno attaccato le organizzazioni ucraine

L’Ucraina Computer Emergency Response Team (CERT-UA) ha riferito di campagne di phishing in corso da parte del gruppo di criminali informatici InvisiMole (noto anche come UAC-0035) nei confronti delle organizzazioni ucraine.

Gli hacker stanno distribuendo la backdoor di LoadEdge alle vittime.

Secondo CERT-UA, le e-mail di phishing contengono un archivio 501_25_103.zip e un file di etichetta (LNK).

Quando viene aperto, il file dell’applicazione HTML (.hta) scarica ed esegue lo script VBScript per l’installazione di LoadEdge.

LoadEdge è una backdoor scritta nel linguaggio di programmazione C++. Il malware supporta fileEx, copyOverNw, diskops, disks, download, upload, getconf, setinterval, startr, killr, kill come comandi.

La funzionalità del programma include la raccolta di informazioni sui dischi, il caricamento e il download di file, l’esecuzione di operazioni sul file system e l’eliminazione dei dati.

Una volta che la backdoor ha stabilito una connessione con il server di comando e controllo InvisiMole, altri payload iniziano a essere installati ed eseguiti, inclusi TunnelMole e i moduli backdoor per la raccolta di informazioni RC2FM e RC2CL.

La persistenza è fornita dal file HTA creando una voce nel ramo Esegui del registro di Windows.

InvisiMole è stato scoperto dai ricercatori ESET nel 2018. Gli aggressori sono attivi almeno dal 2013 e sono stati collegati ad attacchi a grandi organizzazioni dell’Europa orientale coinvolte in attività militari e missioni diplomatiche.

Nel 2020, i ricercatori di sicurezza informatica hanno collegato InvisiMole ad APT Gamaredon (noto anche come Armageddon, Primitive Bear e ACTINIUM).

Il gruppo Gamaredon, presumibilmente risulta legato alla Russia, organizza attacchi di phishing contro imprese e organizzazioni ucraine dall’ottobre 2021.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research