Los investigadores de ESET revelan el modus operandi del esquivo grupo InvisiMole, incluidos los vínculos recientemente descubiertos con el grupo Gamaredon
En nuestro seguimiento del grupo InvisiMole, que nosotros redescubierto y reportado por primera vez en 2018, hemos encontrado una nueva campaña dirigida a organizaciones de alto perfil en Europa del Este. Al investigar los ataques, en estrecha colaboración con las organizaciones afectadas, descubrimos su conjunto de herramientas actualizado y detalles previamente desconocidos sobre las tácticas, técnicas y procedimientos (TTP) de InvisiMole.
En esta publicación de blog, resumimos los hallazgos publicados en su totalidad en nuestro libro blanco, InvisiMole: la parte oculta de la historia.
El grupo InvisiMole es un actor de amenazas que opera al menos desde 2013. Anteriormente documentamos sus dos puertas traseras, RC2CL y RC2FM, notables por sus amplias capacidades de espionaje, pero no sabíamos cómo estas puertas traseras se distribuyeron, distribuyeron o instalaron en el sistema.
En esta reciente campaña, el grupo InvisiMole ha resurgido con un conjunto de herramientas actualizado, dirigido a un pequeño número de organizaciones de alto perfil en el sector militar y misiones diplomáticas, ambas en Europa del Este. Según nuestra telemetría, los intentos de ataque continuaron desde finales de 2019 hasta el momento de escribir este informe.
Gracias a la investigación de los ataques en cooperación con las organizaciones afectadas, pudimos exponer el funcionamiento interno del conjunto de herramientas actualizado InvisiMole.
Descubrimos que el arsenal de InvisiMole solo se desata después de que otro grupo de amenazas, Gamaredon, ya se ha infiltrado en la red de interés y posiblemente ha obtenido privilegios administrativos. Esto permite que el grupo InvisiMole idee formas creativas de operar bajo el radar.
Por ejemplo, los atacantes usan cadenas de ejecución largas, diseñadas combinando código malicioso con herramientas legítimas y ejecutables vulnerables. Utilizan túneles DNS para comunicaciones C&C más sigilosas y colocan barreras de ejecución en los componentes maliciosos para ocultar el malware de los investigadores de seguridad.
Mecanismo de entrega
Durante nuestra investigación, descubrimos que InvisiMole es entregado a los sistemas comprometidos por un descargador .NET detectado por los productos de ESET como MSIL / Pterodo, el trabajo del grupo Gamaredon. Gamaredon es un actor de amenazas, operando al menos desde 2013, caracterizado por un rápido desarrollo y haciendo pocos esfuerzos para mantenerse bajo el radar. Nosotros recientemente documentado los nuevos componentes Gamaredon, distribuido a través de correos electrónicos de spearphishing y utilizado para moverse lateralmente lo más lejos posible dentro de la red del objetivo, mientras se toman las huellas digitales de las máquinas.
Nuestra investigación ahora muestra que Gamaredon se utiliza para allanar el camino para una carga útil mucho más sigilosa: según nuestra telemetría, un pequeño número de objetivos de Gamaredon se "actualizan" al malware avanzado InvisiMole, probablemente aquellos considerados particularmente significativos por los atacantes.
Figura 1. El descargador .NET de Gamaredon puede "actualizar" la máquina de la víctima al descargador TCP de InvisiMole
Como detallamos en el libro blanco, a pesar de la evidencia de colaboración, consideramos que Gamaredon e InvisiMole son dos grupos distintos con TTP diferentes, en lugar de un solo actor de amenaza.
Mecanismos de difusión y actualización.
Documentamos tres formas en que InvisiMole se propaga dentro de redes comprometidas:
- Utilizando el BlueKeep vulnerabilidad en el protocolo RDP (CVE-2019-0708)
- Utilizando el EternoAzul vulnerabilidad en el protocolo SMB (CVE-2017-0144)
- Utilizando documentos troyanizados e instaladores de software, creados con archivos benignos robados de la organización comprometida.
Para crear los archivos trojanizados, InvisiMole primero roba documentos o instaladores de software de la organización comprometida, y luego crea un archivo SFX que agrupa el archivo con el instalador InvisiMole. El archivo original se reemplaza con la versión armada, mientras se conservan su nombre, icono y metadatos. Los atacantes confían en los usuarios para compartir y ejecutar estos archivos.
Esta técnica de movimiento lateral es especialmente poderosa si el archivo trojanizado es un instalador de software ubicado en un servidor central, una forma común de implementar software en organizaciones más grandes. De esa manera, InvisiMole se distribuye orgánicamente a muchas computadoras que usan este servidor.
Independientemente del método de propagación, el primer componente de InvisiMole implementado en las máquinas recién comprometidas siempre es el descargador TCP de InvisiMole, una simple adición al conjunto de herramientas que descarga la siguiente etapa de la infiltración.
La segunda adición al conjunto de herramientas actualizado de InvisiMole, el descargador de DNS, tiene la misma funcionalidad pero está diseñado para el acceso encubierto a largo plazo a la máquina. Utiliza un método más sigiloso de comunicación C&C, utilizando una técnica llamada Túnel de DNS (ver Figura 2).
Figura 2. Túnel de DNS
Con el túnel DNS, el cliente comprometido no contacta directamente con el servidor de C&C; solo se comunica con los servidores DNS benignos con los que la máquina víctima normalmente se comunicaría, donde envía solicitudes para resolver un dominio a su dirección IP. El servidor DNS luego contacta al servidor de nombres responsable del dominio en la solicitud, que es un servidor de nombres controlado por el atacante, y transmite su respuesta al cliente.
La comunicación real de C&C está incrustada en las solicitudes y respuestas de DNS, sin el conocimiento del servidor DNS benigno que opera como intermediario en la comunicación.
Cadenas de ejecución
La característica más notable del nuevo conjunto de herramientas InvisiMole son sus largas cadenas de ejecución, que se utilizan para implementar las cargas útiles finales: las puertas traseras RC2CM y RC2CL actualizadas, y los nuevos descargadores TCP y DNS.
Reconstruimos cuatro cadenas de ejecución, utilizadas por los atacantes en diversas situaciones, en función de la versión del sistema operativo de la computadora de la víctima y de si podían obtener privilegios administrativos en el sistema:
- los Cadena de mal uso del panel de control utiliza una técnica poco común conocida por las filtraciones de Vault 7, utilizada para lograr la ejecución encubierta en el contexto del Panel de control.
- los Cadena de explotación SMInit explota una vulnerabilidad en el legítimo software Total Video Player. Se utiliza en casos en que los atacantes no han logrado obtener privilegios administrativos en el sistema.
- los Cadena de explotación Speedfan explota una vulnerabilidad de escalada de privilegios locales en el speedfan.sys controlador para inyectar su código a un proceso confiable desde el modo kernel.
- los Cadena de exploits Wdigest es la cadena insignia de InvisiMole, la más elaborada, utilizada en las versiones más recientes de Windows, donde los atacantes tienen privilegios administrativos. Explota una vulnerabilidad en Windows wdigest.dll biblioteca y luego utiliza un mejorado ListPlanting técnica para inyectar su código en un proceso confiable.
InvisiMole introduce todos los ejecutables vulnerables utilizados en estas cadenas; la variación de esta técnica con un controlador vulnerable se ha denominado anteriormente Traiga su propio conductor vulnerable por colegas investigadores. Para los otros casos, hemos llamado la técnica Traiga su propio software vulnerable.
Documentamos estas tácticas en detalle en el Cadenas de ejecución sección de nuestro libro blanco.
Figura 3. Las cadenas de ejecución de InvisiMole; los candados indican el uso del cifrado por máquina
Observe el uso intensivo de herramientas legítimas y el cifrado por víctima, que se muestra en la descripción general de estas cuatro cadenas en la Figura 3. Es la táctica de los operadores de InvisiMole instalar exclusivamente herramientas legítimas y reservar las cargas maliciosas para etapas posteriores.
Para colocar barandas de ejecución y encriptar las cargas útiles individualmente por víctima, InvisiMole utiliza una función de Windows llamada API de protección de datos (DPAPI), específicamente:
- la CryptProtectData API para encriptación de datos
- la CryptUnprotectData API para descifrado de datos
Este esquema de cifrado simétrico utiliza una clave derivada de los secretos de inicio de sesión del usuario, por lo que el descifrado debe realizarse en la misma computadora donde se cifraron los datos.
La Figura 4 muestra un fragmento de un cargador InvisiMol típico que utiliza CryptUnprotectData para descifrar y luego comprueba si el blob descifrado comienza con un valor mágico característico InvisiMole de cuatro bytes:
- 64 DA 11 CE para cargas útiles de 64 bits
- 86 DA 11 CE para cargas útiles de 32 bits
Figura 4. Fragmento de un cargador InvisiMole característico
InvisiMole abusa de la función DPAPI, destinada al almacenamiento local de credenciales como contraseñas de Wi-Fi o contraseñas de inicio de sesión en navegadores web, para proteger su carga de los investigadores de seguridad. Incluso si encuentran los componentes de InvisiMole en telemetría o en plataformas de intercambio de malware, no pueden descifrarlos fuera de la computadora de la víctima.
Sin embargo, gracias a la cooperación directa con las organizaciones afectadas, pudimos recuperar las cargas útiles y reconstruir cuatro de las cadenas de ejecución de InvisiMole, que se describen en detalle en el documento técnico.
Conclusión
Cuando informamos por primera vez sobre InvisiMole en 2018, destacamos su funcionamiento encubierto y su compleja gama de capacidades. Sin embargo, faltaba una gran parte de la imagen.
Después de descubrir una nueva actividad a fines de 2019, tuvimos la oportunidad de echar un vistazo adecuado bajo el capó de las operaciones de InvisiMole y reconstruir las partes ocultas de la historia. Analizando el conjunto de herramientas actualizado del grupo, observamos un desarrollo continuo y mejoras sustanciales, con especial énfasis en permanecer fuera del radar.
Nuestra investigación también reveló una cooperación previamente desconocida entre InvisiMole y el grupo Gamaredon, con el malware de Gamaredon utilizado para infiltrarse en la red objetivo y entregar el sofisticado malware InvisiMole a objetivos de especial interés.
Después de proporcionar un informe detallado sobre los TTP de InvisiMole, continuaremos rastreando las actividades maliciosas del grupo.
Los nombres de detección de ESET y otros indicadores de compromiso para estas campañas se pueden encontrar en el documento técnico completo, InvisiMole: la parte oculta de la historia.
Agradecimientos a otros investigadores de malware de ESET Matthieu FaouLadislav Janko y Michal Poslušný por su trabajo en esta investigación.
Técnicas MITRE ATT y CK
Nota: Para una mejor legibilidad, hemos separado las puertas traseras RC2FM y RC2CL en sus respectivas tablas de mapeo ATT y CK, debido a sus ricas capacidades. El primer mapeo se refiere a los componentes de soporte de InvisiMole utilizados para la entrega, el movimiento lateral, las cadenas de ejecución y para descargar cargas útiles adicionales.
InvisiMole
| Táctica | CARNÉ DE IDENTIDAD | Nombre | Descripción |
|---|---|---|---|
| Ejecución | T1196 | Elementos del panel de control | El cargador de InvisiMole está enmascarado como un archivo CPL, haciendo un mal uso de los elementos del panel de control para su ejecución. |
| T1106 | Ejecución a través de API | InvisiMole ha usado ShellExecuteW y CreateProcessW API para ejecutar archivos. | |
| T1129 | Ejecución a través de carga de módulo | InvisiMole implementa un cargador personalizado para sus componentes (blobs InvisiMole). | |
| T1203 | Explotación para la ejecución del cliente | InvisiMole ha entregado vulnerables Reproductor de video total software y wdigest.dll biblioteca y explotó sus vulnerabilidades de desbordamiento de pila y validación de entrada, respectivamente, para obtener la ejecución de código secreto. | |
| T1085 | Rundll32 | InvisiMole ha usado rundll32.exe como parte de su cadena de ejecución. | |
| T1053 | Tarea programada | InvisiMole ha utilizado el programador de tareas de Windows como parte de sus cadenas de ejecución. | |
| T1064 | Scripting | InvisiMole ha usado un archivo JavaScript llamado Control.js como parte de su cadena de ejecución. | |
| T1035 | Ejecución de servicio | InvisiMole ha registrado un servicio de Windows como una de las formas de ejecutar su carga maliciosa. | |
| T1204 | Ejecución de usuario | InvisiMole se ha entregado como versiones troyanizadas de software y documentos, utilizando nombres e iconos engañosos y confiando en la ejecución del usuario. | |
| Persistencia | T1050 | Nuevo servicio | InvisiMole ha registrado un servicio de Windows llamado clr_optimization_v2.0.51527_X86 para lograr la persistencia. |
| T1060 | Claves de ejecución del registro / Carpeta de inicio | InvisiMole ha colocado un archivo LNK en la carpeta de inicio para lograr la persistencia. | |
| T1053 | Tarea programada | InvisiMole ha programado tareas bajo nombres MSST y Microsoft Windows Autochk Programado para lograr la persistencia. | |
| T1023 | Modificación de acceso directo | InvisiMole ha colocado un archivo LNK en la carpeta de inicio para lograr la persistencia. | |
| Escalada de privilegios | T1088 | Omitir control de cuenta de usuario | InvisiMole puede omitir UAC para obtener privilegios elevados. |
| T1068 | Explotación para la escalada de privilegios | InvisiMole ha explotado la vulnerabilidad CVE-2007-5633 en speedfan.sys controlador para obtener privilegios de modo kernel. | |
| Evasión de defensa | T1140 | Desobuscar / decodificar archivos o información | InvisiMole descifra las cadenas utilizando variaciones de cifrado XOR. InvisiMole descifra sus componentes utilizando el CryptUnprotectData API y DES triple de dos teclas. |
| T1480 | Barandillas de ejecución | InvisiMole ha utilizado la API de protección de datos para cifrar sus componentes en la computadora de la víctima, para evadir la detección y asegurarse de que la carga útil solo se pueda descifrar (y luego cargar) en una computadora comprometida específica. | |
| T1143 | Ventana oculta | InvisiMole ha ejecutado herramientas legítimas en ventanas ocultas y las ha utilizado para ejecutar componentes maliciosos de InvisiMole. | |
| T1066 | Indicador de eliminación de herramientas | InvisiMole ha experimentado mejoras técnicas en un intento de evadir la detección. | |
| T1202 | Ejecución indirecta de comandos | InvisiMole ha usado winapiexec herramienta para ejecución indirecta de funciones API de Windows. | |
| T1027 | Archivos o información ofuscados | InvisiMole ha ofuscado cadenas y código para dificultar el análisis, y ha encriptado sus componentes para impedir la detección. | |
| T1055 | Inyección de proceso | InvisiMole ha inyectado su código en procesos confiables utilizando una técnica mejorada de ListPlanting y a través de la cola APC. | |
| T1108 | Acceso redundante | InvisiMole ha implementado múltiples puertas traseras en una sola computadora comprometida. | |
| T1085 | Rundll32 | InvisiMole ha usado rundll32.exe como parte de su cadena de ejecución. | |
| T1064 | Scripting | El cargador de InvisiMole utiliza un script JavaScript como parte de la configuración de la persistencia. | |
| T1063 | Descubrimiento de software de seguridad | El complemento DNS de InvisiMole evita la conexión al servidor C&C si se detecta que se están ejecutando rastreadores de red seleccionados. | |
| T1099 | Timestomp | InvisiMole ha modificado las marcas de tiempo de los archivos que crea o modifica. | |
| T1036 | Disfraces | InvisiMole ha intentado disfrazar a sus cuentagotas como software o documentos legítimos, y ocultarse registrándose bajo un nombre de servicio aparentemente legítimo. | |
| Descubrimiento | T1046 | Escaneo de servicios de red | InvisiMole ha realizado un escaneo de red dentro de la red comprometida utilizando sus componentes Portscan y BlueKeep, para buscar puertos abiertos y hosts vulnerables a la vulnerabilidad BlueKeep. |
| T1518 | Descubrimiento de software | El programa de descarga de DNS de InvisiMole intenta detectar las herramientas de sniffer de red seleccionadas y detiene su tráfico de red si se detecta que se está ejecutando. | |
| T1082 | Descubrimiento de información del sistema | El descargador DNS de InvisiMole recopila el nombre de la computadora y el número de serie del volumen del sistema. | |
| T1124 | Descubrimiento de hora del sistema | InvisiMole puede recopilar la marca de tiempo de la máquina de la víctima. | |
| Movimiento lateral | T1210 | Explotación de servicios remotos | InvisiMole ha explotado las vulnerabilidades EternalBlue y BlueKeep para el movimiento lateral. |
| T1080 | Manchar contenido compartido | InvisiMole ha reemplazado software o documentos legítimos en la red comprometida con sus versiones troyanizadas, en un intento de propagarse dentro de la red. | |
| Comando y control | T1043 | Puerto de uso común | El descargador de InvisiMole utiliza el puerto 443 para la comunicación C&C. El complemento DNS de InvisiMole utiliza el puerto 53 para la comunicación C&C. |
| T1090 | Proxy de conexión | El descargador TCP de InvisiMole puede utilizar servidores proxy configurados por el usuario para la comunicación C&C. | |
| T1024 | Protocolo criptográfico personalizado | Los descargadores TCP y DNS de InvisiMole utilizan un protocolo criptográfico personalizado para cifrar la comunicación de red. | |
| T1132 | Codificación de datos | El descargador DNS de InvisiMole utiliza una variación de la codificación base32 para codificar datos en el subdominio en sus solicitudes. | |
| T1008 | Canales de reserva | Los descargadores TCP y DNS de InvisiMole están configurados con varios servidores C&C. | |
| T1105 | Copia remota de archivos | Los descargadores de TCP y DNS de InvisiMole pueden descargar archivos adicionales para ejecutarlos en el sistema comprometido. | |
| T1071 | Protocolo de capa de aplicación estándar | El descargador DNS de InvisiMole utiliza el protocolo DNS para la comunicación C&C. | |
| T1095 | Protocolo estándar de capa sin aplicación | El descargador TCP de InvisiMole utiliza el protocolo TCP para la comunicación C&C. | |
| T1065 | Puerto poco utilizado | El descargador TCP de InvisiMole utiliza el puerto 1922 para la comunicación C&C. |
RC2CL puerta trasera
| Táctica | CARNÉ DE IDENTIDAD | Nombre | Descripción |
|---|---|---|---|
| Ejecución | T1059 | Interfaz de línea de comandos | La puerta trasera RC2CL puede crear un shell remoto para ejecutar comandos. |
| T1106 | Ejecución a través de API | Usos de la puerta trasera RC2CL Proceso de creación y CreateProcessAsUser API para ejecutar archivos. | |
| Escalada de privilegios | T1134 | Manipulación de tokens de acceso | La puerta trasera RC2CL puede usar CreateProcessAsUser API para iniciar un nuevo proceso en el contexto de otro usuario o proceso. |
| T1088 | Omitir control de cuenta de usuario | La puerta trasera RC2CL puede deshabilitar y omitir UAC para obtener privilegios elevados. | |
| Evasión de defensa | T1090 | Proxy de conexión | La puerta trasera RC2CL se puede configurar como una comunicación de transmisión proxy entre otras computadoras comprometidas y el servidor C&C. |
| T1140 | Desobuscar / decodificar archivos o información | La puerta trasera RC2CL descifra las cadenas utilizando variaciones de cifrado XOR. | |
| T1089 | Deshabilitar herramientas de seguridad | La puerta trasera RC2CL puede desactivar el firewall de Windows. | |
| T1107 | Eliminación de archivos | La puerta trasera RC2CL puede eliminar artefactos descartados y varios archivos a pedido siguiendo un comando de eliminación. La puerta trasera RC2CL puede eliminar archivos de forma segura para frustrar el análisis forense. |
|
| T1112 | Modificar registro | La puerta trasera RC2CL oculta su configuración dentro de las claves de registro. | |
| T1027 | Archivos o información ofuscados | La puerta trasera RC2CL ofusca / encripta cadenas y códigos para dificultar el análisis. | |
| T1099 | Timestomp | La puerta trasera RC2CL modifica las marcas de tiempo de los archivos que crea / modifica. | |
| T1497 | Virtualización / Evasión de Sandbox | La puerta trasera RC2CL puede detectar entornos virtualizados. | |
| Descubrimiento | T1087 | Descubrimiento de cuenta | La puerta trasera RC2CL puede enumerar la información de la cuenta y la información de la sesión. |
| T1010 | Application Window Discovery | La puerta trasera RC2CL puede enumerar información sobre ventanas activas. | |
| T1083 | Descubrimiento de archivos y directorios | La puerta trasera RC2CL puede enumerar archivos, y específicamente archivos abiertos recientemente, y enumerar información sobre unidades mapeadas / no mapeadas. | |
| T1046 | Escaneo de servicios de red | La puerta trasera RC2CL puede escanear la red comprometida en busca de hosts vulnerables a la vulnerabilidad de EternalBlue. | |
| T1057 | Descubrimiento de procesos | La puerta trasera RC2CL puede enumerar los procesos en ejecución. | |
| T1012 | Registro de consultas | RC2CL backdoor puede consultar el registro para obtener información sobre el software instalado, las aplicaciones a las que acceden los usuarios, las aplicaciones ejecutadas en el inicio de sesión del usuario / inicio del sistema, archivos abiertos recientemente, | |
| T1063 | Descubrimiento de software de seguridad | La puerta trasera RC2CL modifica su comportamiento si el firewall de Bitdefender está habilitado o si se detectan procesos AV seleccionados en ejecución. | |
| T1518 | Descubrimiento de software | La puerta trasera RC2CL puede enumerar el software instalado, el software al que han accedido los usuarios recientemente, el software ejecutado en cada inicio de sesión de usuario y / o cada inicio del sistema. | |
| T1082 | Descubrimiento de información del sistema | La puerta trasera RC2CL puede mostrar información sobre los controladores cargados, el nombre de la computadora, la versión del sistema operativo, el estado de la memoria, la hora local, el sistema y la política DEP del proceso. | |
| T1016 | Descubrimiento de configuración de red del sistema | La puerta trasera RC2CL puede listar la tabla IP; información de proxy configurada; información sobre redes inalámbricas habilitadas para la geolocalización de las víctimas. | |
| T1007 | Descubrimiento de servicio del sistema | La puerta trasera RC2CL puede enumerar la información de servicio del sistema. | |
| Colección | T1123 | Captura de audio | La puerta trasera RC2CL puede grabar los sonidos de los micrófonos en una computadora. RC2FM hace un mal uso de un lame.dll legítimo para la codificación de MP3 de las grabaciones. |
| T1005 | Datos del sistema local | La puerta trasera RC2CL puede recopilar datos del sistema y puede monitorear cambios en directorios específicos. | |
| T1074 | Datos organizados | La puerta trasera RC2CL puede almacenar datos recopilados en una ubicación central para una posterior exfiltración. | |
| T1113 | La captura de pantalla | La puerta trasera RC2CL puede capturar capturas de pantalla de la pantalla de la víctima. La puerta trasera RC2CL también puede capturar capturas de pantalla de ventanas separadas. | |
| T1125 | Captura de video | La puerta trasera RC2CL puede acceder a la cámara web de la víctima y capturar fotos / grabar videos. | |
| Comando y control | T1008 | Canales de reserva | La puerta trasera RC2CL está configurada con varios servidores C&C. Mediante un comando de puerta trasera, es posible extender la lista y cambiar qué servidor C&C se utiliza. |
| T1105 | Copia remota de archivos | InvisiMole puede descargar archivos adicionales para ejecutarlos en el sistema comprometido. | |
| T1065 | Puerto poco utilizado | La puerta trasera RC2CL usa el puerto 1922 para la comunicación C&C. | |
| Exfiltración | T1002 | Datos comprimidos | La puerta trasera RC2CL puede crear archivos zlib y SFX. Utiliza incorrectamente una copia de la herramienta legítima WinRAR para compresión y descompresión. |
| T1022 | Datos cifrados | La puerta trasera RC2CL utiliza variaciones de cifrado XOR para cifrar datos. | |
| T1041 | Exfiltración sobre el canal de comando y control | La puerta trasera RC2CL extrae la información recopilada a través de su canal de C&C. |
RC2FM puerta trasera
| Táctica | CARNÉ DE IDENTIDAD | Nombre | Descripción |
|---|---|---|---|
| Ejecución | T1059 | Interfaz de línea de comandos | La puerta trasera RC2FM puede crear un shell remoto para ejecutar comandos. |
| T1106 | Ejecución a través de API | La puerta trasera RC2FM admite un comando que usa ShellExecute y Proceso de creación API para ejecutar archivos. | |
| Escalada de privilegios | T1088 | Omitir control de cuenta de usuario | La puerta trasera RC2FM puede omitir UAC para obtener privilegios elevados. |
| Evasión de defensa | T1140 | Desobuscar / decodificar archivos o información | La puerta trasera RC2FM descifra las cadenas utilizando variaciones de cifrado XOR. |
| T1107 | Eliminación de archivos | La puerta trasera RC2FM puede eliminar artefactos descartados y varios archivos a pedido siguiendo un comando de eliminación. | |
| T1143 | Ventana oculta | La puerta trasera RC2FM utiliza el indicador de creación CREATE_NO_WINDOW para ejecutar malware en una ventana oculta. | |
| T1112 | Modificar registro | La puerta trasera RC2FM oculta su configuración dentro de las claves de registro. | |
| T1027 | Archivos o información ofuscados | La puerta trasera RC2FM ofusca / encripta cadenas y código para dificultar el análisis. | |
| T1055 | Inyección de proceso | La puerta trasera RC2FM puede inyectarse en ctfmon.exe , dwm.exe , sihost.exe y taskhost.exe procesos. | |
| T1085 | Rundll32 | La puerta trasera RC2FM usa rundll32.exe para cargar una DLL de código auxiliar en la que luego se inyecta. | |
| T1099 | Marca de tiempo | La puerta trasera RC2FM modifica las marcas de tiempo de los archivos que crea / modifica. | |
| T1497 | Virtualización / Evasión de Sandbox | La puerta trasera RC2FM puede detectar entornos virtualizados. | |
| Descubrimiento | T1083 | Descubrimiento de archivos y directorios | La puerta trasera RC2FM recopila información sobre unidades mapeadas. Puede enumerar archivos en una carpeta específica. |
| T1135 | Descubrimiento de redes compartidas | La puerta trasera RC2FM puede enumerar los recursos compartidos de red conectados. | |
| T1057 | Descubrimiento de procesos | La puerta trasera RC2FM puede enumerar los procesos en ejecución. | |
| T1082 | Descubrimiento de información del sistema | La puerta trasera RC2FM recopila el nombre de la computadora y el número de serie del volumen del sistema. | |
| T1016 | Descubrimiento de configuración de red del sistema | La puerta trasera RC2FM enumera información sobre servidores proxy configurados. | |
| Colección | T1123 | Captura de audio | La puerta trasera RC2FM puede grabar los sonidos de los micrófonos en una computadora. Utiliza incorrectamente un lame.dll legítimo para la codificación MP3 de las grabaciones. |
| T1025 | Datos de medios extraíbles | La puerta trasera RC2FM puede recopilar archivos jpeg de dispositivos MTP conectados. | |
| T1056 | Captura de entrada | La puerta trasera RC2FM puede recolectar pulsaciones de teclas. | |
| T1113 | La captura de pantalla | La puerta trasera RC2FM puede capturar capturas de pantalla de la pantalla de la víctima. | |
| Comando y control | T1043 | Puerto de uso común | La puerta trasera RC2FM usa el puerto 80 para la comunicación C&C. |
| T1090 | Proxy de conexión | La puerta trasera RC2FM puede usar proxies configurados en el sistema local, para varios navegadores instalados y portátiles, si falla la conexión directa al servidor C&C. | |
| T1008 | Canales de reserva | La puerta trasera RC2FM está configurada con varios servidores C&C. Es posible actualizar el servidor C&C mediante un comando de puerta trasera. | |
| T1105 | Copia remota de archivos | InvisiMole puede descargar archivos adicionales para ejecutarlos en el sistema comprometido. | |
| T1071 | Protocolo de capa de aplicación estándar | La puerta trasera RC2FM usa HTTP para la comunicación C&C. | |
| Exfiltración | T1022 | Datos cifrados | La puerta trasera RC2FM utiliza variaciones de cifrado XOR para cifrar datos. |
| T1041 | Exfiltración sobre el canal de comando y control | La puerta trasera RC2FM extrae la información recopilada a través de su canal de C&C. |