Se ha observado que un actor de amenaza previamente desconocido copia la artesanía asociada con el grupo de piratería Gamaredon alineado en Kremlin en sus ataques cibernéticos dirigidos a entidades de habla rusa.
La campaña se ha atribuido a un clúster de amenazas denominado Gamacopiaque se evalúa para compartir superposiciones con otro grupo de piratería llamado Core Werewolf, también rastreado como Awaken Likho y Pseudogamaredon.
Según el Equipo de Inteligencia de Amenazas Avanzadas del Seconía 404, los ataques aprovechan el contenido relacionado con las instalaciones militares como señuelos para abandonar UltraVNC, lo que permite a los actores de amenaza acceder a los anfitriones comprometidos de forma remota.
“El TTP (tácticas, técnicas y procedimientos) de esta organización imita la de la organización de Gamaredon que realiza ataques contra Ucrania”, la compañía dicho en un informe publicado la semana pasada.
La divulgación llega casi cuatro meses después de que Kaspersky revelara que las agencias gubernamentales rusas y las entidades industriales han sido el objetivo del hombre lobo central, con los ataques de phishing de lanza allanando el camino para la plataforma Meshcentral en lugar de UltraVNC.
El punto de partida de la cadena de ataque refleja el detallado por la compañía de ciberseguridad rusa en el que un archivo de archivo de autoextracción (SFX) creado utilizando Actos de 7 ZIP como un conducto para eliminar las cargas útiles de la próxima etapa. Esto incluye un script por lotes responsable de entregar UltraVNC, al tiempo que muestra un documento PDF señuelo.
El ejecutable UltraVNC recibe el nombre “OnedRivers.exe” en un probable esfuerzo por evadir la detección al pasarlo como un binario asociado con Microsoft OneDrive.
KnowSec 404 dijo que la actividad comparte varias similitudes con las campañas de Werewolf Core, incluido el uso de archivos 7Z-SFX para instalar y ejecutar UltraVNC, puerto 443 para conectarse al servidor y el uso del Comando ActableLayEdExpansion.
“Desde su exposición, esta organización ha imitado con frecuencia los TTP utilizados por la organización Gararedon y usó hábilmente herramientas de código abierto como un escudo para lograr sus propios objetivos mientras confunde al público”, dijo la compañía.
Gamacopy es uno de los muchos actores de amenazas que han atacado a las organizaciones rusas a raíz de la guerra ruso-ucraniana, como Sticky Werewolf (también conocido como Phaseshifters), Venture Wolf y Paper Werewolf.
“Grupos como Phaseshifters, Pseudogamaredon y Fluffy Wolf se destacan por sus implacables campañas de phishing dirigidas al robo de datos”, Irina Zinovkina de las tecnologías positivas dicho.
About the Author
