Desenterrando el arsenal oculto de InvisiMole


Los investigadores de ESET revelan el modus operandi del esquivo grupo InvisiMole, incluidos los vínculos recientemente descubiertos con el grupo Gamaredon

En nuestro seguimiento del grupo InvisiMole, que nosotros redescubierto y reportado por primera vez en 2018, hemos encontrado una nueva campaña dirigida a organizaciones de alto perfil en Europa del Este. Al investigar los ataques, en estrecha colaboración con las organizaciones afectadas, descubrimos su conjunto de herramientas actualizado y detalles previamente desconocidos sobre las tácticas, técnicas y procedimientos (TTP) de InvisiMole.

En esta publicación de blog, resumimos los hallazgos publicados en su totalidad en nuestro libro blanco, InvisiMole: la parte oculta de la historia.

El grupo InvisiMole es un actor de amenazas que opera al menos desde 2013. Anteriormente documentamos sus dos puertas traseras, RC2CL y RC2FM, notables por sus amplias capacidades de espionaje, pero no sabíamos cómo estas puertas traseras se distribuyeron, distribuyeron o instalaron en el sistema.

En esta reciente campaña, el grupo InvisiMole ha resurgido con un conjunto de herramientas actualizado, dirigido a un pequeño número de organizaciones de alto perfil en el sector militar y misiones diplomáticas, ambas en Europa del Este. Según nuestra telemetría, los intentos de ataque continuaron desde finales de 2019 hasta el momento de escribir este informe.

Gracias a la investigación de los ataques en cooperación con las organizaciones afectadas, pudimos exponer el funcionamiento interno del conjunto de herramientas actualizado InvisiMole.

Descubrimos que el arsenal de InvisiMole solo se desata después de que otro grupo de amenazas, Gamaredon, ya se ha infiltrado en la red de interés y posiblemente ha obtenido privilegios administrativos. Esto permite que el grupo InvisiMole idee formas creativas de operar bajo el radar.

Por ejemplo, los atacantes usan cadenas de ejecución largas, diseñadas combinando código malicioso con herramientas legítimas y ejecutables vulnerables. Utilizan túneles DNS para comunicaciones C&C más sigilosas y colocan barreras de ejecución en los componentes maliciosos para ocultar el malware de los investigadores de seguridad.

Mecanismo de entrega

Durante nuestra investigación, descubrimos que InvisiMole es entregado a los sistemas comprometidos por un descargador .NET detectado por los productos de ESET como MSIL / Pterodo, el trabajo del grupo Gamaredon. Gamaredon es un actor de amenazas, operando al menos desde 2013, caracterizado por un rápido desarrollo y haciendo pocos esfuerzos para mantenerse bajo el radar. Nosotros recientemente documentado los nuevos componentes Gamaredon, distribuido a través de correos electrónicos de spearphishing y utilizado para moverse lateralmente lo más lejos posible dentro de la red del objetivo, mientras se toman las huellas digitales de las máquinas.

Nuestra investigación ahora muestra que Gamaredon se utiliza para allanar el camino para una carga útil mucho más sigilosa: según nuestra telemetría, un pequeño número de objetivos de Gamaredon se "actualizan" al malware avanzado InvisiMole, probablemente aquellos considerados particularmente significativos por los atacantes.

Figura 1. El descargador .NET de Gamaredon puede "actualizar" la máquina de la víctima al descargador TCP de InvisiMole

Como detallamos en el libro blanco, a pesar de la evidencia de colaboración, consideramos que Gamaredon e InvisiMole son dos grupos distintos con TTP diferentes, en lugar de un solo actor de amenaza.

Mecanismos de difusión y actualización.

Documentamos tres formas en que InvisiMole se propaga dentro de redes comprometidas:

  • Utilizando el BlueKeep vulnerabilidad en el protocolo RDP (CVE-2019-0708)
  • Utilizando el EternoAzul vulnerabilidad en el protocolo SMB (CVE-2017-0144)
  • Utilizando documentos troyanizados e instaladores de software, creados con archivos benignos robados de la organización comprometida.

Para crear los archivos trojanizados, InvisiMole primero roba documentos o instaladores de software de la organización comprometida, y luego crea un archivo SFX que agrupa el archivo con el instalador InvisiMole. El archivo original se reemplaza con la versión armada, mientras se conservan su nombre, icono y metadatos. Los atacantes confían en los usuarios para compartir y ejecutar estos archivos.

Esta técnica de movimiento lateral es especialmente poderosa si el archivo trojanizado es un instalador de software ubicado en un servidor central, una forma común de implementar software en organizaciones más grandes. De esa manera, InvisiMole se distribuye orgánicamente a muchas computadoras que usan este servidor.

Independientemente del método de propagación, el primer componente de InvisiMole implementado en las máquinas recién comprometidas siempre es el descargador TCP de InvisiMole, una simple adición al conjunto de herramientas que descarga la siguiente etapa de la infiltración.

La segunda adición al conjunto de herramientas actualizado de InvisiMole, el descargador de DNS, tiene la misma funcionalidad pero está diseñado para el acceso encubierto a largo plazo a la máquina. Utiliza un método más sigiloso de comunicación C&C, utilizando una técnica llamada Túnel de DNS (ver Figura 2).

Figura 2. Túnel de DNS

Con el túnel DNS, el cliente comprometido no contacta directamente con el servidor de C&C; solo se comunica con los servidores DNS benignos con los que la máquina víctima normalmente se comunicaría, donde envía solicitudes para resolver un dominio a su dirección IP. El servidor DNS luego contacta al servidor de nombres responsable del dominio en la solicitud, que es un servidor de nombres controlado por el atacante, y transmite su respuesta al cliente.

La comunicación real de C&C está incrustada en las solicitudes y respuestas de DNS, sin el conocimiento del servidor DNS benigno que opera como intermediario en la comunicación.

Cadenas de ejecución

La característica más notable del nuevo conjunto de herramientas InvisiMole son sus largas cadenas de ejecución, que se utilizan para implementar las cargas útiles finales: las puertas traseras RC2CM y RC2CL actualizadas, y los nuevos descargadores TCP y DNS.

Reconstruimos cuatro cadenas de ejecución, utilizadas por los atacantes en diversas situaciones, en función de la versión del sistema operativo de la computadora de la víctima y de si podían obtener privilegios administrativos en el sistema:

  • los Cadena de mal uso del panel de control utiliza una técnica poco común conocida por las filtraciones de Vault 7, utilizada para lograr la ejecución encubierta en el contexto del Panel de control.
  • los Cadena de explotación SMInit explota una vulnerabilidad en el legítimo software Total Video Player. Se utiliza en casos en que los atacantes no han logrado obtener privilegios administrativos en el sistema.
  • los Cadena de explotación Speedfan explota una vulnerabilidad de escalada de privilegios locales en el speedfan.sys controlador para inyectar su código a un proceso confiable desde el modo kernel.
  • los Cadena de exploits Wdigest es la cadena insignia de InvisiMole, la más elaborada, utilizada en las versiones más recientes de Windows, donde los atacantes tienen privilegios administrativos. Explota una vulnerabilidad en Windows wdigest.dll biblioteca y luego utiliza un mejorado ListPlanting técnica para inyectar su código en un proceso confiable.

InvisiMole introduce todos los ejecutables vulnerables utilizados en estas cadenas; la variación de esta técnica con un controlador vulnerable se ha denominado anteriormente Traiga su propio conductor vulnerable por colegas investigadores. Para los otros casos, hemos llamado la técnica Traiga su propio software vulnerable.

Documentamos estas tácticas en detalle en el Cadenas de ejecución sección de nuestro libro blanco.

Figura 3. Las cadenas de ejecución de InvisiMole; los candados indican el uso del cifrado por máquina

Observe el uso intensivo de herramientas legítimas y el cifrado por víctima, que se muestra en la descripción general de estas cuatro cadenas en la Figura 3. Es la táctica de los operadores de InvisiMole instalar exclusivamente herramientas legítimas y reservar las cargas maliciosas para etapas posteriores.

Para colocar barandas de ejecución y encriptar las cargas útiles individualmente por víctima, InvisiMole utiliza una función de Windows llamada API de protección de datos (DPAPI), específicamente:

  • la CryptProtectData API para encriptación de datos
  • la CryptUnprotectData API para descifrado de datos

Este esquema de cifrado simétrico utiliza una clave derivada de los secretos de inicio de sesión del usuario, por lo que el descifrado debe realizarse en la misma computadora donde se cifraron los datos.

La Figura 4 muestra un fragmento de un cargador InvisiMol típico que utiliza CryptUnprotectData para descifrar y luego comprueba si el blob descifrado comienza con un valor mágico característico InvisiMole de cuatro bytes:

  • 64 DA 11 CE para cargas útiles de 64 bits
  • 86 DA 11 CE para cargas útiles de 32 bits

Figura 4. Fragmento de un cargador InvisiMole característico

InvisiMole abusa de la función DPAPI, destinada al almacenamiento local de credenciales como contraseñas de Wi-Fi o contraseñas de inicio de sesión en navegadores web, para proteger su carga de los investigadores de seguridad. Incluso si encuentran los componentes de InvisiMole en telemetría o en plataformas de intercambio de malware, no pueden descifrarlos fuera de la computadora de la víctima.

Sin embargo, gracias a la cooperación directa con las organizaciones afectadas, pudimos recuperar las cargas útiles y reconstruir cuatro de las cadenas de ejecución de InvisiMole, que se describen en detalle en el documento técnico.

Conclusión

Cuando informamos por primera vez sobre InvisiMole en 2018, destacamos su funcionamiento encubierto y su compleja gama de capacidades. Sin embargo, faltaba una gran parte de la imagen.

Después de descubrir una nueva actividad a fines de 2019, tuvimos la oportunidad de echar un vistazo adecuado bajo el capó de las operaciones de InvisiMole y reconstruir las partes ocultas de la historia. Analizando el conjunto de herramientas actualizado del grupo, observamos un desarrollo continuo y mejoras sustanciales, con especial énfasis en permanecer fuera del radar.

Nuestra investigación también reveló una cooperación previamente desconocida entre InvisiMole y el grupo Gamaredon, con el malware de Gamaredon utilizado para infiltrarse en la red objetivo y entregar el sofisticado malware InvisiMole a objetivos de especial interés.

Después de proporcionar un informe detallado sobre los TTP de InvisiMole, continuaremos rastreando las actividades maliciosas del grupo.

Los nombres de detección de ESET y otros indicadores de compromiso para estas campañas se pueden encontrar en el documento técnico completo, InvisiMole: la parte oculta de la historia.

Agradecimientos a otros investigadores de malware de ESET Matthieu FaouLadislav Janko y Michal Poslušný por su trabajo en esta investigación.

Técnicas MITRE ATT y CK

Nota: Para una mejor legibilidad, hemos separado las puertas traseras RC2FM y RC2CL en sus respectivas tablas de mapeo ATT y CK, debido a sus ricas capacidades. El primer mapeo se refiere a los componentes de soporte de InvisiMole utilizados para la entrega, el movimiento lateral, las cadenas de ejecución y para descargar cargas útiles adicionales.

InvisiMole

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Ejecución T1196 Elementos del panel de control El cargador de InvisiMole está enmascarado como un archivo CPL, haciendo un mal uso de los elementos del panel de control para su ejecución.
T1106 Ejecución a través de API InvisiMole ha usado ShellExecuteW y CreateProcessW API para ejecutar archivos.
T1129 Ejecución a través de carga de módulo InvisiMole implementa un cargador personalizado para sus componentes (blobs InvisiMole).
T1203 Explotación para la ejecución del cliente InvisiMole ha entregado vulnerables Reproductor de video total software y wdigest.dll biblioteca y explotó sus vulnerabilidades de desbordamiento de pila y validación de entrada, respectivamente, para obtener la ejecución de código secreto.
T1085 Rundll32 InvisiMole ha usado rundll32.exe como parte de su cadena de ejecución.
T1053 Tarea programada InvisiMole ha utilizado el programador de tareas de Windows como parte de sus cadenas de ejecución.
T1064 Scripting InvisiMole ha usado un archivo JavaScript llamado Control.js como parte de su cadena de ejecución.
T1035 Ejecución de servicio InvisiMole ha registrado un servicio de Windows como una de las formas de ejecutar su carga maliciosa.
T1204 Ejecución de usuario InvisiMole se ha entregado como versiones troyanizadas de software y documentos, utilizando nombres e iconos engañosos y confiando en la ejecución del usuario.
Persistencia T1050 Nuevo servicio InvisiMole ha registrado un servicio de Windows llamado clr_optimization_v2.0.51527_X86 para lograr la persistencia.
T1060 Claves de ejecución del registro / Carpeta de inicio InvisiMole ha colocado un archivo LNK en la carpeta de inicio para lograr la persistencia.
T1053 Tarea programada InvisiMole ha programado tareas bajo nombres MSST y Microsoft Windows Autochk Programado para lograr la persistencia.
T1023 Modificación de acceso directo InvisiMole ha colocado un archivo LNK en la carpeta de inicio para lograr la persistencia.
Escalada de privilegios T1088 Omitir control de cuenta de usuario InvisiMole puede omitir UAC para obtener privilegios elevados.
T1068 Explotación para la escalada de privilegios InvisiMole ha explotado la vulnerabilidad CVE-2007-5633 en speedfan.sys controlador para obtener privilegios de modo kernel.
Evasión de defensa T1140 Desobuscar / decodificar archivos o información InvisiMole descifra las cadenas utilizando variaciones de cifrado XOR. InvisiMole descifra sus componentes utilizando el CryptUnprotectData API y DES triple de dos teclas.
T1480 Barandillas de ejecución InvisiMole ha utilizado la API de protección de datos para cifrar sus componentes en la computadora de la víctima, para evadir la detección y asegurarse de que la carga útil solo se pueda descifrar (y luego cargar) en una computadora comprometida específica.
T1143 Ventana oculta InvisiMole ha ejecutado herramientas legítimas en ventanas ocultas y las ha utilizado para ejecutar componentes maliciosos de InvisiMole.
T1066 Indicador de eliminación de herramientas InvisiMole ha experimentado mejoras técnicas en un intento de evadir la detección.
T1202 Ejecución indirecta de comandos InvisiMole ha usado winapiexec herramienta para ejecución indirecta de funciones API de Windows.
T1027 Archivos o información ofuscados InvisiMole ha ofuscado cadenas y código para dificultar el análisis, y ha encriptado sus componentes para impedir la detección.
T1055 Inyección de proceso InvisiMole ha inyectado su código en procesos confiables utilizando una técnica mejorada de ListPlanting y a través de la cola APC.
T1108 Acceso redundante InvisiMole ha implementado múltiples puertas traseras en una sola computadora comprometida.
T1085 Rundll32 InvisiMole ha usado rundll32.exe como parte de su cadena de ejecución.
T1064 Scripting El cargador de InvisiMole utiliza un script JavaScript como parte de la configuración de la persistencia.
T1063 Descubrimiento de software de seguridad El complemento DNS de InvisiMole evita la conexión al servidor C&C si se detecta que se están ejecutando rastreadores de red seleccionados.
T1099 Timestomp InvisiMole ha modificado las marcas de tiempo de los archivos que crea o modifica.
T1036 Disfraces InvisiMole ha intentado disfrazar a sus cuentagotas como software o documentos legítimos, y ocultarse registrándose bajo un nombre de servicio aparentemente legítimo.
Descubrimiento T1046 Escaneo de servicios de red InvisiMole ha realizado un escaneo de red dentro de la red comprometida utilizando sus componentes Portscan y BlueKeep, para buscar puertos abiertos y hosts vulnerables a la vulnerabilidad BlueKeep.
T1518 Descubrimiento de software El programa de descarga de DNS de InvisiMole intenta detectar las herramientas de sniffer de red seleccionadas y detiene su tráfico de red si se detecta que se está ejecutando.
T1082 Descubrimiento de información del sistema El descargador DNS de InvisiMole recopila el nombre de la computadora y el número de serie del volumen del sistema.
T1124 Descubrimiento de hora del sistema InvisiMole puede recopilar la marca de tiempo de la máquina de la víctima.
Movimiento lateral T1210 Explotación de servicios remotos InvisiMole ha explotado las vulnerabilidades EternalBlue y BlueKeep para el movimiento lateral.
T1080 Manchar contenido compartido InvisiMole ha reemplazado software o documentos legítimos en la red comprometida con sus versiones troyanizadas, en un intento de propagarse dentro de la red.
Comando y control T1043 Puerto de uso común El descargador de InvisiMole utiliza el puerto 443 para la comunicación C&C. El complemento DNS de InvisiMole utiliza el puerto 53 para la comunicación C&C.
T1090 Proxy de conexión El descargador TCP de InvisiMole puede utilizar servidores proxy configurados por el usuario para la comunicación C&C.
T1024 Protocolo criptográfico personalizado Los descargadores TCP y DNS de InvisiMole utilizan un protocolo criptográfico personalizado para cifrar la comunicación de red.
T1132 Codificación de datos El descargador DNS de InvisiMole utiliza una variación de la codificación base32 para codificar datos en el subdominio en sus solicitudes.
T1008 Canales de reserva Los descargadores TCP y DNS de InvisiMole están configurados con varios servidores C&C.
T1105 Copia remota de archivos Los descargadores de TCP y DNS de InvisiMole pueden descargar archivos adicionales para ejecutarlos en el sistema comprometido.
T1071 Protocolo de capa de aplicación estándar El descargador DNS de InvisiMole utiliza el protocolo DNS para la comunicación C&C.
T1095 Protocolo estándar de capa sin aplicación El descargador TCP de InvisiMole utiliza el protocolo TCP para la comunicación C&C.
T1065 Puerto poco utilizado El descargador TCP de InvisiMole utiliza el puerto 1922 para la comunicación C&C.

RC2CL puerta trasera

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Ejecución T1059 Interfaz de línea de comandos La puerta trasera RC2CL puede crear un shell remoto para ejecutar comandos.
T1106 Ejecución a través de API Usos de la puerta trasera RC2CL Proceso de creación y CreateProcessAsUser API para ejecutar archivos.
Escalada de privilegios T1134 Manipulación de tokens de acceso La puerta trasera RC2CL puede usar CreateProcessAsUser API para iniciar un nuevo proceso en el contexto de otro usuario o proceso.
T1088 Omitir control de cuenta de usuario La puerta trasera RC2CL puede deshabilitar y omitir UAC para obtener privilegios elevados.
Evasión de defensa T1090 Proxy de conexión La puerta trasera RC2CL se puede configurar como una comunicación de transmisión proxy entre otras computadoras comprometidas y el servidor C&C.
T1140 Desobuscar / decodificar archivos o información La puerta trasera RC2CL descifra las cadenas utilizando variaciones de cifrado XOR.
T1089 Deshabilitar herramientas de seguridad La puerta trasera RC2CL puede desactivar el firewall de Windows.
T1107 Eliminación de archivos La puerta trasera RC2CL puede eliminar artefactos descartados y varios archivos a pedido siguiendo un comando de eliminación.
La puerta trasera RC2CL puede eliminar archivos de forma segura para frustrar el análisis forense.
T1112 Modificar registro La puerta trasera RC2CL oculta su configuración dentro de las claves de registro.
T1027 Archivos o información ofuscados La puerta trasera RC2CL ofusca / encripta cadenas y códigos para dificultar el análisis.
T1099 Timestomp La puerta trasera RC2CL modifica las marcas de tiempo de los archivos que crea / modifica.
T1497 Virtualización / Evasión de Sandbox La puerta trasera RC2CL puede detectar entornos virtualizados.
Descubrimiento T1087 Descubrimiento de cuenta La puerta trasera RC2CL puede enumerar la información de la cuenta y la información de la sesión.
T1010 Application Window Discovery La puerta trasera RC2CL puede enumerar información sobre ventanas activas.
T1083 Descubrimiento de archivos y directorios La puerta trasera RC2CL puede enumerar archivos, y específicamente archivos abiertos recientemente, y enumerar información sobre unidades mapeadas / no mapeadas.
T1046 Escaneo de servicios de red La puerta trasera RC2CL puede escanear la red comprometida en busca de hosts vulnerables a la vulnerabilidad de EternalBlue.
T1057 Descubrimiento de procesos La puerta trasera RC2CL puede enumerar los procesos en ejecución.
T1012 Registro de consultas RC2CL backdoor puede consultar el registro para obtener información sobre el software instalado, las aplicaciones a las que acceden los usuarios, las aplicaciones ejecutadas en el inicio de sesión del usuario / inicio del sistema, archivos abiertos recientemente,
T1063 Descubrimiento de software de seguridad La puerta trasera RC2CL modifica su comportamiento si el firewall de Bitdefender está habilitado o si se detectan procesos AV seleccionados en ejecución.
T1518 Descubrimiento de software La puerta trasera RC2CL puede enumerar el software instalado, el software al que han accedido los usuarios recientemente, el software ejecutado en cada inicio de sesión de usuario y / o cada inicio del sistema.
T1082 Descubrimiento de información del sistema La puerta trasera RC2CL puede mostrar información sobre los controladores cargados, el nombre de la computadora, la versión del sistema operativo, el estado de la memoria, la hora local, el sistema y la política DEP del proceso.
T1016 Descubrimiento de configuración de red del sistema La puerta trasera RC2CL puede listar la tabla IP; información de proxy configurada; información sobre redes inalámbricas habilitadas para la geolocalización de las víctimas.
T1007 Descubrimiento de servicio del sistema La puerta trasera RC2CL puede enumerar la información de servicio del sistema.
Colección T1123 Captura de audio La puerta trasera RC2CL puede grabar los sonidos de los micrófonos en una computadora. RC2FM hace un mal uso de un lame.dll legítimo para la codificación de MP3 de las grabaciones.
T1005 Datos del sistema local La puerta trasera RC2CL puede recopilar datos del sistema y puede monitorear cambios en directorios específicos.
T1074 Datos organizados La puerta trasera RC2CL puede almacenar datos recopilados en una ubicación central para una posterior exfiltración.
T1113 La captura de pantalla La puerta trasera RC2CL puede capturar capturas de pantalla de la pantalla de la víctima. La puerta trasera RC2CL también puede capturar capturas de pantalla de ventanas separadas.
T1125 Captura de video La puerta trasera RC2CL puede acceder a la cámara web de la víctima y capturar fotos / grabar videos.
Comando y control T1008 Canales de reserva La puerta trasera RC2CL está configurada con varios servidores C&C. Mediante un comando de puerta trasera, es posible extender la lista y cambiar qué servidor C&C se utiliza.
T1105 Copia remota de archivos InvisiMole puede descargar archivos adicionales para ejecutarlos en el sistema comprometido.
T1065 Puerto poco utilizado La puerta trasera RC2CL usa el puerto 1922 para la comunicación C&C.
Exfiltración T1002 Datos comprimidos La puerta trasera RC2CL puede crear archivos zlib y SFX. Utiliza incorrectamente una copia de la herramienta legítima WinRAR para compresión y descompresión.
T1022 Datos cifrados La puerta trasera RC2CL utiliza variaciones de cifrado XOR para cifrar datos.
T1041 Exfiltración sobre el canal de comando y control La puerta trasera RC2CL extrae la información recopilada a través de su canal de C&C.

RC2FM puerta trasera

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Ejecución T1059 Interfaz de línea de comandos La puerta trasera RC2FM puede crear un shell remoto para ejecutar comandos.
T1106 Ejecución a través de API La puerta trasera RC2FM admite un comando que usa ShellExecute y Proceso de creación API para ejecutar archivos.
Escalada de privilegios T1088 Omitir control de cuenta de usuario La puerta trasera RC2FM puede omitir UAC para obtener privilegios elevados.
Evasión de defensa T1140 Desobuscar / decodificar archivos o información La puerta trasera RC2FM descifra las cadenas utilizando variaciones de cifrado XOR.
T1107 Eliminación de archivos La puerta trasera RC2FM puede eliminar artefactos descartados y varios archivos a pedido siguiendo un comando de eliminación.
T1143 Ventana oculta La puerta trasera RC2FM utiliza el indicador de creación CREATE_NO_WINDOW para ejecutar malware en una ventana oculta.
T1112 Modificar registro La puerta trasera RC2FM oculta su configuración dentro de las claves de registro.
T1027 Archivos o información ofuscados La puerta trasera RC2FM ofusca / encripta cadenas y código para dificultar el análisis.
T1055 Inyección de proceso La puerta trasera RC2FM puede inyectarse en ctfmon.exe , dwm.exe , sihost.exe y taskhost.exe procesos.
T1085 Rundll32 La puerta trasera RC2FM usa rundll32.exe para cargar una DLL de código auxiliar en la que luego se inyecta.
T1099 Marca de tiempo La puerta trasera RC2FM modifica las marcas de tiempo de los archivos que crea / modifica.
T1497 Virtualización / Evasión de Sandbox La puerta trasera RC2FM puede detectar entornos virtualizados.
Descubrimiento T1083 Descubrimiento de archivos y directorios La puerta trasera RC2FM recopila información sobre unidades mapeadas. Puede enumerar archivos en una carpeta específica.
T1135 Descubrimiento de redes compartidas La puerta trasera RC2FM puede enumerar los recursos compartidos de red conectados.
T1057 Descubrimiento de procesos La puerta trasera RC2FM puede enumerar los procesos en ejecución.
T1082 Descubrimiento de información del sistema La puerta trasera RC2FM recopila el nombre de la computadora y el número de serie del volumen del sistema.
T1016 Descubrimiento de configuración de red del sistema La puerta trasera RC2FM enumera información sobre servidores proxy configurados.
Colección T1123 Captura de audio La puerta trasera RC2FM puede grabar los sonidos de los micrófonos en una computadora. Utiliza incorrectamente un lame.dll legítimo para la codificación MP3 de las grabaciones.
T1025 Datos de medios extraíbles La puerta trasera RC2FM puede recopilar archivos jpeg de dispositivos MTP conectados.
T1056 Captura de entrada La puerta trasera RC2FM puede recolectar pulsaciones de teclas.
T1113 La captura de pantalla La puerta trasera RC2FM puede capturar capturas de pantalla de la pantalla de la víctima.
Comando y control T1043 Puerto de uso común La puerta trasera RC2FM usa el puerto 80 para la comunicación C&C.
T1090 Proxy de conexión La puerta trasera RC2FM puede usar proxies configurados en el sistema local, para varios navegadores instalados y portátiles, si falla la conexión directa al servidor C&C.
T1008 Canales de reserva La puerta trasera RC2FM está configurada con varios servidores C&C. Es posible actualizar el servidor C&C mediante un comando de puerta trasera.
T1105 Copia remota de archivos InvisiMole puede descargar archivos adicionales para ejecutarlos en el sistema comprometido.
T1071 Protocolo de capa de aplicación estándar La puerta trasera RC2FM usa HTTP para la comunicación C&C.
Exfiltración T1022 Datos cifrados La puerta trasera RC2FM utiliza variaciones de cifrado XOR para cifrar datos.
T1041 Exfiltración sobre el canal de comando y control La puerta trasera RC2FM extrae la información recopilada a través de su canal de C&C.



y





Enlace a la noticia original