InvisiMole уже много лет сотрудничает с APT Gamaredon.
https://www.securitylab.ru/upload/ib...02477f24a.jpeg
Группа реагирования на компьютерные чрезвычайные ситуации в Украине (CERT-UA) сообщила о текущих фишинговых кампаниях киберпреступной группировки InvisiMole (также известной как UAC-0035), нацеленных на украинские организации. Хакеры распространяют среди жертв бэкдор LoadEdge.
По данным CERT-UA, фишинговые письма содержат архив 501_25_103.zip и файл ярлыка (LNK). При открытии файл HTML-приложения (HTA) загружает и выполняет скрипт VBScript, предназначенный для установки LoadEdge.
LoadEdge – бекдор, написанный на языке программирования C++. Вредонос поддерживает команды fileEx, copyOverNw, diskops, disks, download, upload, getconf, setinterval, startr, killr, kill. Функционал программы включает сбор информации о дисках, загрузку и скачивание файлов, операции с файловой системой и удаление.
Как только бэкдор устанавливает связь с командным сервером InvisiMole, начинается установка и запуск других полезных нагрузок, включая TunnelMole и бэкдор-модули для сбора информации RC2FM и RC2CL. Персистентность обеспечивается HTA-файлом путем создания записи в ветке Run регистра Windows.
InvisiMole была обнаружена исследователями ESET в 2018 году. Злоумышленники активны как минимум с 2013 года и были связаны с атаками на крупные организации в Восточной Европе, занимающиеся военной деятельностью и дипломатическими миссиями. В 2020 году исследователи в области кибербезопасности связали группировку InvisiMole с APT Gamaredon (также известной как Armageddon, Primitive Bear и ACTINIUM).
Группировка Gamaredon, предположительно связанная с Россией, с октября 2021 года организовывает фишинговые атаки на украинские предприятия и организации.