Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

I black hacker di InvisiMole stanno attaccato le organizzazioni ucraine

Redazione RHC : 22 Marzo 2022 13:10

L’Ucraina Computer Emergency Response Team (CERT-UA) ha riferito di campagne di phishing in corso da parte del gruppo di criminali informatici InvisiMole (noto anche come UAC-0035) nei confronti delle organizzazioni ucraine.

Gli hacker stanno distribuendo la backdoor di LoadEdge alle vittime.

Secondo CERT-UA, le e-mail di phishing contengono un archivio 501_25_103.zip e un file di etichetta (LNK).

Supporta Red Hot Cyber attraverso

Quando viene aperto, il file dell’applicazione HTML (.hta) scarica ed esegue lo script VBScript per l’installazione di LoadEdge.

LoadEdge è una backdoor scritta nel linguaggio di programmazione C++. Il malware supporta fileEx, copyOverNw, diskops, disks, download, upload, getconf, setinterval, startr, killr, kill come comandi.

La funzionalità del programma include la raccolta di informazioni sui dischi, il caricamento e il download di file, l’esecuzione di operazioni sul file system e l’eliminazione dei dati.

Una volta che la backdoor ha stabilito una connessione con il server di comando e controllo InvisiMole, altri payload iniziano a essere installati ed eseguiti, inclusi TunnelMole e i moduli backdoor per la raccolta di informazioni RC2FM e RC2CL.

La persistenza è fornita dal file HTA creando una voce nel ramo Esegui del registro di Windows.

InvisiMole è stato scoperto dai ricercatori ESET nel 2018. Gli aggressori sono attivi almeno dal 2013 e sono stati collegati ad attacchi a grandi organizzazioni dell’Europa orientale coinvolte in attività militari e missioni diplomatiche.

Nel 2020, i ricercatori di sicurezza informatica hanno collegato InvisiMole ad APT Gamaredon (noto anche come Armageddon, Primitive Bear e ACTINIUM).

Il gruppo Gamaredon, presumibilmente risulta legato alla Russia, organizza attacchi di phishing contro imprese e organizzazioni ucraine dall’ottobre 2021.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: redazione@redhotcyber.com
© Copyright RED HOT CYBER. PIVA 16821691009