Desvelan el modus operandi de InvisiMole, el grupo de ciberdelincuentes que atenta contra misiones diplomáticas e instituciones militares

23 junio, 2020
6 Compartido 1,169 Visualizaciones

En el transcurso de una investigación sobre una nueva campaña llevada a cabo por el grupo InvisiMole, el laboratorio de ESET ha descubierto el conjunto de herramientas actualizado que utiliza el grupo, así como detalles no conocidos hasta ahora sobre sus formas de actuar. Los descubrimientos son parte de una investigación en la que han colaborado las entidades atacadas. En su campaña más reciente, el grupo InvisiMole utilizó un conjunto de herramientas actualizadas para atacar a misiones diplomáticas e instituciones militares de Europa del Este. De acuerdo con la telemetría de ESET, los intentos de ataque se han estado llevando a cabo entre finales de 2019 y junio de 2020.

InvisiMole es un grupo activo desde al menos 2013 y fue documentado por primera vez por ESET en una investigación sobre una operación de ciberespionaje en Ucrania y Rusia en la que se usaron dos backdoors para espiar a las víctimas. “En aquel momento encontramos esos dos backdoors muy bien equipados, pero faltaba una pieza importante del puzle para entender sus objetivos: no sabíamos cómo los distribuían ni cómo los instalaban en los sistemas”, explica Zuzana Hromcová, investigadora de ESET que ha analizado InvisiMole.

Ahora, gracias a la colaboración con las organizaciones afectadas, los investigadores de ESET han tenido la oportunidad de obtener un conocimiento más profundo de las operaciones llevadas a cabo por InvisiMole. “Hemos podido documentar el extenso conjunto de herramientas utilizado para la distribución, movimiento lateral y ejecución de los backdoors de InvisiMole”, afirma Anton Cherepanov, responsable de la investigación en ESET.

Uno de los descubrimientos más importantes relaciona al grupo InvisiMole con el grupo detrás de Gamaredon. Los investigadores descubrieron que el arsenal de InvisiMole solo se despliega una vez que Gamaredon se ha infiltrado en la red de la víctima y, posiblemente, ya cuente con privilegios de administrador.

Nuestra investigación sugiere que los objetivos considerados importantes por parte de los atacantes pasan a ser controlados desde el malware relativamente sencillo de Gamaredon al malware más avanzado de InvisiMole, con lo que este grupo puede operar de forma creativa sin ser descubierto”, comenta Hromcová.

Los investigadores de ESET encontraron cuatro cadenas de ejecución diferentes utilizadas por InvisiMole y elaboradas mediante una combinación de código malicioso, herramientas legítimas y archivos ejecutables vulnerables. Para esconder el malware, los componentes de InvisiMole se protegen con cifrado único por cada víctima, asegurando que el payload solo puede ser descifrado y ejecutado en el equipo infectado. El conjunto de herramientas actualizado de InvisiMole también cuenta con un componente nuevo que utiliza técnicas de tunneling DNS para conseguir una comunicación con el servidor de mando y control más sigilosa si cabe.

Analizando el conjunto de herramientas actualizado que utiliza InvisiMole, el laboratorio de ESET ha observado mejoras frente a las versiones previas estudiadas. “Con el conocimiento que hemos adquirido, seremos capaces de rastrear las actividades del grupo de forma más precisa”, concluye Hromcová.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

CyberXecurity Day: Tener una buena estrategia de ciberseguridad ha dejado de ser algo exclusivo para grandes empresas
Actualidad
32 compartido1,852 visualizaciones
Actualidad
32 compartido1,852 visualizaciones

CyberXecurity Day: Tener una buena estrategia de ciberseguridad ha dejado de ser algo exclusivo para grandes empresas

Vicente Ramírez - 5 febrero, 2019

X By Orange organiza junto a Nuage Networks (Nokia) y Check Point, organiza en Madrid y Barcelona, dos jornadas para dar…

S2 Grupo protegerá a los jugadores online de la ciberdelincuencia
Sin categoría
392 visualizaciones
Sin categoría
392 visualizaciones

S2 Grupo protegerá a los jugadores online de la ciberdelincuencia

Alicia Burrueco - 3 agosto, 2020

La empresa de ciberseguridad ha puesto en marcha en YouTube el proyecto “Protected Games”. Éste consiste en vídeos grabados por…

La plataforma IoT española que quiere transformar el sector retail
IoT
768 visualizaciones
IoT
768 visualizaciones

La plataforma IoT española que quiere transformar el sector retail

Vicente Ramírez - 21 febrero, 2019

La startup española Geeksme está desarrollando cinco casos de uso para demostrar el potencial del ecosistema y favorecer el uso…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.