InvisiMole dan Gamaredon, Duo Maut yang Mengincar Misi Diplomatik dan Militer

Cyberthreat.id - InvisiMole kembali dengan alat (tool) baru dan kemitraan baru dengan Advanced Persistent Threat (APT). Kelompok ini dikenal karena menargetkan misi diplomatik dan sektor militer khususnya di wilayah di Eropa Timur.

Operator InvisiMole diketahui memulai kemitraan dengan grup APT Gamaredon sejak akhir 2019. Duet maut ini telah menargetkan organisasi berprofil tinggi di sektor militer dan misi diplomatik di Eropa Timur. Grup ini telah memperbarui TTP untuk meningkatkan eksekusi, pergerakan lateral, dan pengiriman backdoor-nya.

Apa saja Alat yang Diperbarui?

Ada dua pintu belakang (backdoor) - RC2CL dan RC2FM - digunakan oleh hacker untuk menampilkan beberapa kemampuan cyberpionage, termasuk geolokasi, mengumpulkan informasi korban, dan membuat perubahan sistem.

Toolset yang diperbarui memanfaatkan teknik-teknik pendaratan yang digunakan di empat rantai pelaksanaannya. Komponen lain yaitu tunneling DNS telah ditambahkan untuk menambah lebih banyak siluman ke komunikasi C2 malware.

Operator ini ditemukan menggunakan BlueKeep exploit (CVE-2017-0144) dan NSA exploit EternalBlue (CVE-2019-0708) untuk pergerakan lateral lintas jaringan. Kelompok ini juga menggunakan alat yang rentan untuk dieksekusi, seperti utilitas SpeedFan dan Total Video Player.

Koneksi dengan Gamaredon

Para peneliti telah menemukan upaya menyebarkan malware InvisiMole sambil memanfaatkan infrastruktur server yang hanya digunakan oleh Gamaredon.

Kemitraan ini memberikan tugas dan fungsi masing-masing. Peran Gamaredon adalah menyusup ke sistem korban menggunakan alat mereka sendiri dan mendapatkan hak istimewa admin. Selanjutnya, InvisiMole masuk dengan teknik-teknik canggihnya untuk menggunakan backdoors-nya.

Gamaredon tidak pernah menjadi orang yang low profile, sementara InvisiMole mengambil langkah ekstra untuk menghindari deteksi. Intinya, kemitraan ini terbukti bermanfaat bagi kedua kelompok dalam mengumpulkan informasi. Gamaredon membuka jalan bagi muatan yang tersembunyi untuk InvisiMole yang membantu meningkatkan target bernilai tinggi.

Apa itu InvisiMole?

InvisiMole adalah alat (tool) spionase cyber (cyber espionage) yang sudah ada sejak 2013. InvisiMole bekerja memburu informasi dan rahasia dari target (orang) berprofil tinggi (misi diplomatik) sambil tetap menempel dan terus menjadi bayang-bayang.

Modus operandi InvisiMole terdiri dari dua komponen berbahaya. Alat ini mengubah komputer yang terpengaruh menjadi kamera video, membiarkan penyerang melihat dan mendengar apa yang terjadi di kantor target atau di mana pun perangkat mereka berada.

Tanpa diundang, operator InvisiMole mengakses sistem, memonitor dengan cermat aktivitas korban dan mencuri rahasia korban.

Pada Juni 2018, We Live Security ESET berhasil menemukan alat spionase cyber InvisiMole pada komputer yang disusupi di Ukraina dan Rusia. Sebelumnya, InvisiMole tidak pernah dianalisis atau terdeteksi hingga akhirnya ditemukan oleh produk ESET

Operasi InvisiMole sangat bertarget (targeted) sehingga tidak heran malware ini memiliki rasio infeksi yang rendah karena hanya beberapa lusin komputer yang terpengaruh.

InvisiMole memiliki arsitektur modular, memulai perjalanannya dengan pembungkus DLL (DLL wrapper), dan melakukan aktivitasnya menggunakan dua modul lain yang tertanam dalam sumber dayanya. Kedua modul adalah backdoors yang kaya fitur, yang bersama-sama memberikannya kemampuan untuk mengumpulkan sebanyak mungkin informasi tentang target.

Langkah tambahan diambil untuk menghindari menarik perhatian pengguna yang disusupi, memungkinkan malware bertahan di dalam sistem untuk jangka waktu yang lebih lama.  Bagaimana spyware menyebar ke mesin yang terinfeksi belum ditentukan oleh penyelidikan lebih lanjut. Semua vektor infeksi dimungkinkan, termasuk instalasi yang difasilitasi oleh akses fisik ke mesin.

Apa Itu Gamaredon?

Gamaredon adalah grup Advanced Persistent Threat (APT) aktif yang menjalankan aktivitas jahat dengan menambahkan injektor template jarak jauh untuk dokumen Word dan Excel.

Peneliti ESET menemukan beberapa alat (tools) pasca peretasan yang sebelumnya tidak didokumentasikan dan digunakan oleh kelompok Gamaredon dalam berbagai operasi berbahaya. Satu alat, makro VBA yang menargetkan Microsoft Outlook, menggunakan email target untuk mengirim serangan email spear phishing ke kontak di daftar alamat Microsoft Office korban.

Kami juga menganalisis alat Gamaredon lebih lanjut yang memiliki kemampuan untuk menyuntikkan makro jahat dan template jarak jauh ke dalam dokumen Office.

Kelompok Gamaredon telah aktif setidaknya sejak 2013. Kelompok ini bertanggung jawab atas sejumlah serangan, sebagian besar terhadap lembaga-lembaga Ukraina, sebagaimana dibuktikan dalam beberapa laporan dari Computer Emergency Response Team of Ukraina (CERT-UA) serta dari badan resmi Ukraina lainnya.

Dalam beberapa bulan terakhir, ada peningkatan aktivitas dari grup ini, dengan gelombang konstan mengirimkan email jahat. Lampiran di email ini adalah dokumen dengan makro jahat yang, ketika dijalankan, mengunduh banyak varian malware yang berbeda.

Gamaredon memanfaatkan banyak bahasa pemrograman yang berbeda dalam beberapa bulan terakhir, mulai dari C # hingga VBScript, file batch dan C/C++. Alat yang digunakan oleh Gamaredon sangat sederhana dan dirancang untuk mengumpulkan informasi sensitif dari sistem yang dikompromikan dan untuk menyebar lebih jauh.

Berbeda dengan kelompok APT lainnya, Gamaredon tidak berusaha untuk tetap berada di bawah radar. Meskipun alat mereka memiliki kapasitas untuk mengunduh dan menjalankan biner yang sewenang-wenang yang mungkin jauh lebih tersembunyi, tampaknya fokus utama grup ini adalah menyebar sejauh dan secepat mungkin di jaringan target sambil mencoba mengekstrak data.[]