El grupo InvisiMole resurge atacando a entidades diplomáticas y militares
- Endpoint
Los investigadores de ESET encontraron cuatro cadenas de ejecución diferentes utilizadas por InvisiMole y elaboradas mediante una combinación de código malicioso, herramientas legítimas y archivos ejecutables vulnerables. Se relaciona al grupo con el que hay detrás de Gamaredon.
El laboratorio de ESET ha publicado los hallazgos de una investigación sobre una nueva campaña llevada a cabo por el grupo InvisiMole, descubriendo el conjunto de herramientas actualizado que utiliza el grupo, así como detalles sobre sus formas de actuar. En su campaña más reciente, InvisiMole utilizó un conjunto de herramientas actualizadas para atacar a misiones diplomáticas e instituciones militares de Europa del Este entre finales de 2019 y junio de 2020.
|
Recomendados: WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro |
InvisiMole es un grupo activo desde al menos 2013 y fue documentado por primera vez en una investigación sobre una operación de ciberespionaje en Ucrania y Rusia en la que se usaron dos backdoors para espiar a las víctimas. “En aquel momento encontramos esos dos backdoors muy bien equipados, pero faltaba una pieza importante del puzle para entender sus objetivos: no sabíamos cómo los distribuían ni cómo los instalaban en los sistemas”, explica Zuzana Hromcová, investigadora de ESET que ha analizado InvisiMole. Ahora, gracias a la colaboración con las organizaciones afectadas, los investigadores han tenido la oportunidad de obtener un conocimiento más profundo de las operaciones llevadas a cabo por InvisiMole. “Hemos podido documentar el extenso conjunto de herramientas utilizado para la distribución, movimiento lateral y ejecución de los backdoors de InvisiMole”, afirma Anton Cherepanov, responsable de la investigación en ESET.
Uno de los descubrimientos más importantes relaciona al grupo InvisiMole con el grupo detrás de Gamaredon. Los investigadores descubrieron que el arsenal de InvisiMole solo se despliega una vez que Gamaredon se ha infiltrado en la red de la víctima y, posiblemente, ya cuente con privilegios de administrador, con lo que este grupo puede operar de forma creativa sin ser descubierto.
Los investigadores de ESET encontraron cuatro cadenas de ejecución diferentes utilizadas por InvisiMole y elaboradas mediante una combinación de código malicioso, herramientas legítimas y archivos ejecutables vulnerables. Para esconder el malware, los componentes se protegen con cifrado único por cada víctima, asegurando que el payload solo puede ser descifrado y ejecutado en el equipo infectado. El conjunto de herramientas actualizado de InvisiMole también cuenta con un componente nuevo que utiliza técnicas de tunneling DNS para conseguir una comunicación con el servidor de mando y control más sigilosa.
