En el transcurso de una investigación sobre una nueva campaña de InvisiMole, el laboratorio de ESET ha descubierto el conjunto de herramientas actualizado que utiliza el grupo, asà como detalles no conocidos hasta la fecha sobre sus formas de actuar.
Estos descubrimientos son parte de una investigación conjunta con las entidades atacadas en su campaña más reciente, en la que el grupo InvisiMole empleó un conjunto de herramientas actualizadas para atacar a misiones diplomáticas e instituciones militares de Europa del Este en ataques que se han llevado a cabo entre finales de 2019 y las últimas semanas.
InvisiMole es un grupo de ciberdelincuentes activo desde, al menos, 2013 y lo documentó por primera vez la propia ESET en una investigación sobre una operación de ciberespionaje en Ucrania y Rusia en la que se emplearon dos backdoors para espiar a las vÃctimas.
âHemos podido documentar el extenso conjunto de herramientas utilizado para la distribución, movimiento lateral y ejecución de los backdoors de InvisiMoleâ
âEn aquel momento encontramos esos dos backdoors muy bien equipados, pero faltaba una pieza importante del puzle para entender sus objetivos: no sabÃamos cómo los distribuÃan ni cómo los instalaban en los sistemasâ, ha recordado Zuzana Hromcová, investigadora de ESET que ha analizado InvisiMole, durante un encuentro exclusivo con la prensa al que ha asistido Zonamovilidad.es
Ahora, en colaboración con las organizaciones afectadas, los investigadores de ESET han obtenido un conocimiento más profundo de las operaciones llevadas a cabo por InvisiMole. âHemos podido documentar el extenso conjunto de herramientas utilizado para la distribución, movimiento lateral y ejecución de los backdoors de InvisiMoleâ, ha explicado Anton Cherepanov, responsable de la investigación en ESET, durante el encuentro.
ESET vincula a InvisiMole con Gamaredon
Entre estos descubrimientos, destaca especialmente la relación encontrada entre InvisiMole y el grupo detrás de Gamaredon. Los investigadores han podido desvelar que el arsenal de ataques de InvisiMole sólo actúa una vez que Gamaredon se ha infiltrado en la red de la vÃctima y, posiblemente, ya cuente con privilegios de administrador.
âNuestra investigación sugiere que los objetivos considerados importantes por parte de los atacantes pasan a ser controlados desde el malware relativamente sencillo de Gamaredon al malware más avanzado de InvisiMole, con lo que este grupo puede operar de forma creativa sin ser descubiertoâ, ha apuntado Hromcová.
Asimismo, los investigadores han encontrado cuatro cadenas de ejecución diferentes utilizadas por InvisiMole y elaboradas mediante una combinación de código malicioso, herramientas legÃtimas y archivos ejecutables vulnerables. De este modo, para esconder el malware, los componentes de InvisiMole se protegen con cifrado único por cada vÃctima, asegurando asà que el payload solo se puede descifrar y ejecutar en el equipo infectado.
El conjunto de herramientas actualizado de InvisiMole cuenta también con un componente que utiliza técnicas de tunneling DNS para conseguir una comunicación con el servidor de mando y control más sigilosa. En conjunto, los investigadores de ESET destacan que el conjunto de herramientas actualizadas ha recibido âun desarrollo continuo y mejoras sustanciales, con una especial atención a permanecer bajo el radarâ, pero âcon el conocimiento que hemos adquirido, seremos capaces de rastrear las actividades del grupo de forma más precisaâ ha asegurado Hromcová.