Grupo InvisiMole: Ataques a organizaciones del sector militar
Al analizar una nueva campaña del grupo InvisiMole, investigadores de ESET, descubrieron un conjunto de herramientas actualizadas del grupo y detalles desconocidos sobre su modo de operación.
Esta nueva campaña está dirigida a organizaciones de alto perfil del sector militar y misiones diplomáticas, ambas en Europa del Este. Según la telemetría de ESET, los intentos de ataque fueron desde finales de 2019 hasta al menos junio de 2020.
Grupo InvisiMole
InvisiMole, un actor de amenazas que opera desde al menos 2013, fue documentado por primera vez por ESET vinculado a operaciones específicas de ciberespionaje en Ucrania y Rusia, utilizando dos backdoors con muchas funciones para espiar a las víctimas.
En aquel entonces, encontramos estas backdoors sorprendentemente bien equipadas, pero faltaba una gran parte de la imagen: no sabíamos cómo se entregaron, difundieron e instalaron en el sistema.
Zuzana Hromcová, investigadora de ESET.
Gracias a la investigación de los ataques en cooperación con las organizaciones afectadas, los investigadores de ESET obtuvieron la oportunidad de analizar adecuadamente las operaciones de InvisiMole.
Pudimos documentar el amplio conjunto de herramientas utilizadas para la entrega, el movimiento lateral y la ejecución de backdoors de InvisiMole.
Anton Cherepanov, el investigador de malware de ESET que dirigió la investigación
Conclusiones
Una de las principales conclusiones de la investigación se refiere a la cooperación del grupo InvisiMole con otro grupo de amenaza, Gamaredon. Los investigadores descubrieron que el arsenal solo se desata después de que Gamaredon ya se ha infiltrado en la red de interés y posiblemente ha obtenido privilegios administrativos.
Nuestra investigación sugiere que los objetivos considerados particularmente significativos por los atacantes se actualizan del malware Gamaredon relativamente simple al malware avanzado InvisiMole. Esto permite que el grupo cuente con formas creativas de operar bajo el radar.
Hromcová.
En cuanto a permanecer bajo el radar, los investigadores de ESET descubrieron que InvisiMole utiliza cuatro cadenas de ejecución diferentes. Estas están diseñadas combinando código malicioso con herramientas legítimas y ejecutables vulnerables. Para ocultar el malware de los investigadores de seguridad, los componentes de InvisiMole están protegidos con encriptación por víctima.
De esta manera, asegurando que la carga útil solo pueda ser descifrada y ejecutada en la computadora afectada. El conjunto de herramientas actualizado InvisiMole también presenta un nuevo componente que utiliza el túnel DNS para una comunicación C&C más sigilosa.
Al analizar el conjunto de herramientas actualizado del grupo, los investigadores observaron mejoras sustanciales en comparación con las versiones analizadas anteriormente.
Con este nuevo conocimiento, podremos rastrear las actividades maliciosas del grupo aún más de cerca.
Hromcová.
