La compañía de ciberseguridad Eset ha llevado a cabo una investigación a través de la que ha conseguido descubrir las herramientas y el modus operandi del grupo de ciberespionaje InvisiMode. Dicha organización lleva activa desde al menos 2013 y actúa contra misiones diplomáticas e instituciones militares. Gracias a la colaboración con algunas de las entidades atacadas, Eset ha logrado documentar «un extenso conjunto de herramientas utilizado para la distribución, movimiento lateral y ejecución de los backdoors de InvisiMole”, afirma Anton Cherepanov, responsable de la investigación.
InvisiMole fue documentado por Eset hace siete años en otra investigación que analizaba las operaciones de ciberespionaje de este grupo en Ucrania y Rusia. “En aquel momento encontramos dos backdoors muy bien equipados, pero faltaba una pieza importante del puzle para entender sus objetivos: no sabíamos cómo los distribuían ni cómo los instalaban en los sistemas”, explica Zuzana Hromcová, investigadora de Eset que ha analizado InvisiMole.
Descubrimientos sobre InvisiMole
La investigación reciente de Eset se ha desarrollado en el marco de varios intentos de ataque por parte de InvisiMole entre finales de 2019 y junio de 2020. Uno de los descubrimientos más relevantes ha sido la relación que existe entre la organización de ciberespionaje y el grupo APT Gamaredon. Los investigadores encontraron que el arsenal del primero solo se despliega una vez que Gamaredon se ha infiltrado en la red de la víctima y, por lo tanto, posiblemente cuente ya con privilegios de administrador.
“Nuestra investigación sugiere que los objetivos considerados importantes por parte de los atacantes pasan a ser controlados desde el malware relativamente sencillo de Gamaredon al malware más avanzado de InvisiMole, con lo que este grupo puede operar de forma creativa sin ser descubierto”, añadie Hromcová.
Por otro lado, los expertos de Eset hallaron cuatro cadenas de ejecución diferentes utilizadas por InvisiMole y elaboradas mediante una combinación de código malicioso, herramientas legítimas y archivos ejecutables vulnerables. Para esconder el malware, los componentes de InvisiMole se protegen con cifrado único por cada víctima, asegurando que el payload solo puede ser descifrado y ejecutado en el equipo infectado.
Las herramientas del grupo de ciberespionaje InvisiMole también cuenta con un componente nuevo que utiliza técnicas de tunneling DNS para conseguir una comunicación con el servidor de mando y control más sigilosa si cabe.
Archivado en:
