Se ha observado que el actor de amenazas vinculado a Rusia conocido como Gamaredon realiza actividades de exfiltración de datos dentro de una hora del compromiso inicial.
“Como vector de compromiso primario, en su mayor parte, se utilizan correos electrónicos y mensajes en mensajeros (Telegram, WhatsApp, Signal), en la mayoría de los casos, usando cuentas previamente comprometidas”, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) dicho en un análisis del grupo publicado la semana pasada.
Gamaredon, también llamado Aqua Blizzard, Armageddon, Shuckworm o UAC-0010, es un actor patrocinado por el estado con vínculos con la oficina principal de SBU en la República Autónoma de Crimea, que fue anexada por Rusia en 2014. Se estima que el grupo tiene infectó miles de computadoras gubernamentales.
También es uno de los muchos equipos de piratas informáticos rusos que han mantenido una presencia activa desde el comienzo de la guerra ruso-ucraniana en febrero de 2022, aprovechando las campañas de phishing para ofrecer puertas traseras PowerShell como GammaSteel para realizar reconocimientos y ejecutar comandos adicionales.
Los mensajes generalmente vienen con un archivo que contiene un archivo HTM o HTA que, cuando se abre, activa la secuencia de ataque.
Según CERT-UA, GammaSteel se usa para filtrar archivos que coinciden con un conjunto específico de extensiones: .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, . ps1, .rar, .zip, .7z y .mdb, en un período de 30 a 50 minutos.
También se ha observado que el grupo evoluciona constantemente sus tácticas, haciendo uso de técnicas de infección USB para la propagación. Un host que opera en un estado comprometido durante una semana podría tener entre 80 y 120 archivos maliciosos, señaló la agencia.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
También es significativo el uso por parte del actor de amenazas del software AnyDesk para el acceso remoto interactivo, los scripts de PowerShell para el secuestro de sesiones para evitar la autenticación de dos factores (2FA) y Telegram y Telegraph para obtener la información del servidor de comando y control (C2).
«Los atacantes toman medidas separadas para garantizar la tolerancia a fallas de su infraestructura de red y evitar la detección a nivel de red», dijo CERT-UA. “Durante el día, las direcciones IP de los nodos de control intermedios pueden cambiar de 3 a 6 o más veces, lo que, entre otras cosas, indica la adecuada automatización del proceso”.