Компания ESET сообщила о кампании кибершпионов под названием In(ter)ception, в которой использовалось вредоносное ПО Inception.dll. Целью атаки стали предприятия аэрокосмического сектора и военные учреждения в Европе и на Ближнем Востоке.

Атака начиналась с фейкового сообщения в деловой социальной сети LinkedIn, которое выглядит как предложение рассмотреть вакансию и не вызывает подозрений. К письму прикрепляется PDF-файл либо ссылка для скачивания через OneDrive, в котором якобы содержится подробная информация о должностных обязанностях, размере заработной платы и т.д. При его скачивании на рабочую станцию незаметно попадало вредоносное ПО.

Преступники пользовались поддельными профилями LinkedIn и e-mail для связи с жертвами. Среди используемых ими инструментов были сложные многомодульные вредоносные программы, которые часто маскировались под легальное ПО, а также модифицированные версии ПО с открытым исходным кодом. Выявлено также злоупотребление предустановленными утилитами Windows для выполнения вредоносных действий.

ESET также обнаружила кампанию группы киберпреступников InvisiMole, нацеленную на военные и дипломатические структуры Восточной Европы. Ее основное направление — кибершпионаж.

По данным телеметрии ESET, группа InvisiMole активна с 2013 г. Впервые ее вредоносные действия были дектированы в 2018 г. и связаны с кибершпионской деятельностью на территории России и Украины.

Как обнаружили эксперты ESET, InvisiMole сотрудничает с другой группой – Gamaredon, вредоносные программы которой использовались для проникновения в целевую сеть и доставки сложного ПО InvisiMole до целей, представляющих особый интерес.

Компоненты InvisiMole защищены шифрованием per-victim, гарантирующим, что полезная нагрузка может быть расшифрована и выполнена только на скомпрометированной рабочей станции. Кроме того, с помощью обновленного инструментария преступники используют технику DNS-tunneling для более надежной связи с C&C.