I ricercatori di Eset, durante l’analisi di un nuovo attacco proveniente dal gruppo InvisiMole, hanno scoperto gli strumenti utilizzati dall’organizzazione e altri dettagli prima sconosciuti circa il loro modus operandi. I risultati derivano da un’indagine condotta congiuntamente con le vittime dall’attacco.

InvisiMole, noto dal 2013, è stato documentato per la prima volta da Eset in relazione a operazioni di cyberspionaggio mirate in Ucraina e Russia, tramite l’utilizzo di due backdoor molto complesse, che all’epoca erano state identificate, come spiega  Zuzana Hromcová, ricercatrice di Eset: “Mancava però un quadro d’insieme: non sapevamo come fossero state inserite nel sistema”.

Grazie all’analisi degli attacchi, eseguita in collaborazione con le organizzazioni colpite, gli analisti hanno avuto la possibilità di effettuare un’indagine approfondita sulle tecniche utilizzate dagli hacker. Uno dei risultati più importanti riguarda la collaborazione di InvisiMole con Gamaredon, un altro gruppo di cybercriminali. Eset ha scoperto che quest’ultimo svolge la funzione di apripista, infiltrandosi nella rete delle vittime e ottenendo privilegi amministrativi, per poi cedere il passo a InvisiMole.

I ricercatori di Eset hanno anche scoperto attacchi informatici altamente mirati, noti per l'utilizzo di spear phishing basati su LinkedIn, che usano trucchi efficaci per non essere rilevati. Soprannominati Operazione In(ter)ception, sulla base del campione di malware correlato "Inception.dll", hanno il duplice obiettivo di sottrarre dati riservati e ottenere un guadagno economico.

“Il messaggio conteneva un'offerta di lavoro abbastanza credibile, apparentemente proveniente da società note in settori di rilievo. Naturalmente il profilo LinkedIn era falso, e i file inviati all'interno della comunicazione erano dannosi," commenta Dominik Breitenbacher, il ricercatore di Eset, che ha analizzato il malware e condotto l'indagine.

Una volta che il destinatario apriva il file, visualizzava un documento PDF apparentemente innocuo con informazioni relative all'offerta di lavoro falsa e il malware si installava, senza essere rilevato, sul computer della vittima. In questo modo, gli aggressori riuscivano a stabilire una connessione al dispositivo delle vittime.