Identifican ataques a organizaciones del sector militar

Identifican ataques a organizaciones del sector militar
Los investigadores observaron mejoras sustanciales en comparación con las versiones analizadas anteriormente.

Revelan el modus operandi del grupo de ciberespionaje InvisiMole, incluidos los vínculos recientemente descubiertos que mantiene con el grupo Gamaredo.

Al analizar una nueva campaña del grupo InvisiMole, investigadores de ESET, descubrieron un conjunto de herramientas actualizado del grupo y detalles desconocidos sobre su modo de operación.

Esta campaña está dirigida a organizaciones de alto perfil del sector militar y misiones diplomáticas, ambas en Europa del Este. Según la telemetría de la firma, los intentos de ataque fueron desde finales de 2019 hasta al menos junio de 2020, cuando sus investigadores publicaron sus hallazgos.

InvisiMole, un actor de amenazas que opera desde al menos 2013, fue documentado por primera vez por la empresa de seguridad vinculado a operaciones específicas de ciberespionaje en Ucrania y Rusia, utilizando dos backdoors con muchas funciones para espiar a las víctimas.

«En aquel entonces, encontramos estas backdoors sorprendentemente bien equipadas, pero faltaba una gran parte de la imagen: no sabíamos cómo se entregaron, difundieron e instalaron en el sistema«, explicó Zuzana Hromcová, investigadora de ESET que analizó InvisiMole.

Gracias a la investigación de los ataques en cooperación con las organizaciones afectadas, los investigadores de ESET obtuvieron la oportunidad de analizar adecuadamente las operaciones de InvisiMole.

«Pudimos documentar el amplio conjunto de herramientas utilizadas para la entrega, el movimiento lateral y la ejecución de backdoors de InvisiMole«, dijo Anton Cherepanov, el investigador de malware de ESET que dirigió la investigación.

Una de las principales conclusiones de la investigación se refiere a la cooperación del grupo InvisiMole con otro grupo de amenaza, Gamaredon.

Los investigadores descubrieron que el arsenal de InvisiMole solo se desata después de que Gamaredon ya se ha infiltrado en la red de interés y posiblemente ha obtenido privilegios administrativos.

Te puede interesar  Siemens firma protocolo sobre ciberseguridad junto a otras compañías

«Nuestra investigación sugiere que los objetivos considerados particularmente significativos por los atacantes se actualizan del malware Gamaredon relativamente simple al malware avanzado InvisiMole. Esto permite que el grupo InvisiMole cuente con formas creativas de operar bajo el radar«, comentó Hromcová.

El downloader.NET de Gamaredon puede «actualizar» la máquina de la víctima con el downloader TCP de InvisiMole.

Legítimas y ejecutables vulnerables. Para ocultar el malware de los investigadores de seguridad, los componentes de InvisiMole están protegidos con encriptación por víctima, asegurando que la carga útil solo pueda ser descifrada y ejecutada en la computadora afectada.

El conjunto de herramientas actualizado InvisiMole también presenta un nuevo componente que utiliza el túnel DNS para una comunicación C&C más sigilosa.

Al analizar el conjunto de herramientas actualizado del grupo, los investigadores observaron mejoras sustanciales en comparación con las versiones analizadas anteriormente.

«Con este nuevo conocimiento, podremos rastrear las actividades maliciosas del grupo aún más de cerca«, concluyó Hromcová.

Para conocer el análisis técnico del nuevo conjunto de herramientas InvisiMole, consulte el documento completo: «InvisiMole: La parte oculta de la historia«.

Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados

Tipo de error: "Forbidden". Mensaje de error: "The request cannot be completed because you have exceeded your quota." Dominio: "youtube.quota". Razón: "quotaExceeded".

Did you added your own Google API key? Look at the help.

Comprueba en YouTube si el id UC8nOuNcjMh0JO1VR8vMCO4A corresponde a un channelid. Revise el FAQ del plugin or envíe los mensajes de error a support.


5 claves para defender su negocio de amenazas cibernéticas

En el mundo digital globalizado, las responsabilidades del gobierno y del sector privado cambian continuamente y se superponen cada vez...

Cerrar