En el transcurso de una investigación sobre una nueva campaña de InvisiMole, el laboratorio de ESET ha descubierto el conjunto de herramientas actualizado que utiliza el grupo, así como detalles no conocidos hasta la fecha sobre sus formas de actuar.
Estos descubrimientos son parte de una investigación conjunta con las entidades atacadas en su campaña más reciente, en la que el grupo InvisiMole empleó un conjunto de herramientas actualizadas para atacar a misiones diplomáticas e instituciones militares de Europa del Este en ataques que se han llevado a cabo entre finales de 2019 y las últimas semanas.
InvisiMole es un grupo de ciberdelincuentes activo desde, al menos, 2013 y lo documentó por primera vez la propia ESET en una investigación sobre una operación de ciberespionaje en Ucrania y Rusia en la que se emplearon dos backdoors para espiar a las víctimas.
“Hemos podido documentar el extenso conjunto de herramientas utilizado para la distribución, movimiento lateral y ejecución de los backdoors de InvisiMole”
“En aquel momento encontramos esos dos backdoors muy bien equipados, pero faltaba una pieza importante del puzle para entender sus objetivos: no sabíamos cómo los distribuían ni cómo los instalaban en los sistemas”, ha recordado Zuzana Hromcová, investigadora de ESET que ha analizado InvisiMole, durante un encuentro exclusivo con la prensa al que ha asistido Zonamovilidad.es
Ahora, en colaboración con las organizaciones afectadas, los investigadores de ESET han obtenido un conocimiento más profundo de las operaciones llevadas a cabo por InvisiMole. “Hemos podido documentar el extenso conjunto de herramientas utilizado para la distribución, movimiento lateral y ejecución de los backdoors de InvisiMole”, ha explicado Anton Cherepanov, responsable de la investigación en ESET, durante el encuentro.
ESET vincula a InvisiMole con Gamaredon
Entre estos descubrimientos, destaca especialmente la relación encontrada entre InvisiMole y el grupo detrás de Gamaredon. Los investigadores han podido desvelar que el arsenal de ataques de InvisiMole sólo actúa una vez que Gamaredon se ha infiltrado en la red de la víctima y, posiblemente, ya cuente con privilegios de administrador.
“Nuestra investigación sugiere que los objetivos considerados importantes por parte de los atacantes pasan a ser controlados desde el malware relativamente sencillo de Gamaredon al malware más avanzado de InvisiMole, con lo que este grupo puede operar de forma creativa sin ser descubierto”, ha apuntado Hromcová.
Asimismo, los investigadores han encontrado cuatro cadenas de ejecución diferentes utilizadas por InvisiMole y elaboradas mediante una combinación de código malicioso, herramientas legítimas y archivos ejecutables vulnerables. De este modo, para esconder el malware, los componentes de InvisiMole se protegen con cifrado único por cada víctima, asegurando así que el payload solo se puede descifrar y ejecutar en el equipo infectado.
El conjunto de herramientas actualizado de InvisiMole cuenta también con un componente que utiliza técnicas de tunneling DNS para conseguir una comunicación con el servidor de mando y control más sigilosa. En conjunto, los investigadores de ESET destacan que el conjunto de herramientas actualizadas ha recibido “un desarrollo continuo y mejoras sustanciales, con una especial atención a permanecer bajo el radar”, pero “con el conocimiento que hemos adquirido, seremos capaces de rastrear las actividades del grupo de forma más precisa” ha asegurado Hromcová.
Si (
No(
