El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió que más de 2.000 computadoras en el país han sido infectadas por una cepa de malware llamada DirtyMoe.
La agencia atribuido la campaña a un actor de amenaza al que llama UAC-0027.
DirtyMoe, activo desde al menos 2016, es capaz de llevar a cabo cryptojacking y ataques distribuidos de denegación de servicio (DDoS). En marzo de 2022, la empresa de ciberseguridad Avast reveló la capacidad del malware para propagarse en forma de gusano aprovechando fallas de seguridad conocidas.
Se sabe que la botnet DDoS se distribuye mediante otro malware denominado Purple Fox o mediante paquetes de instalación MSI falsos para software popular como Telegram. Zorro Púrpura también es equipado con un rootkit que permite a los actores de amenazas ocultar el malware en la máquina y dificultan su detección y eliminación.
Actualmente se desconoce el vector de acceso inicial exacto utilizado en la campaña dirigida a Ucrania. CERT-UA recomienda que las organizaciones mantengan sus sistemas actualizados, apliquen la segmentación de la red y supervisen el tráfico de la red para detectar cualquier actividad anómala.
La divulgación se produce cuando Securonix detalló una campaña de phishing en curso conocida como STEADY#URSA dirigida al personal militar ucraniano con el objetivo de ofrecer una puerta trasera PowerShell personalizada denominada SUBTLE-PAWS.
«La cadena de explotación es relativamente simple: implica que el objetivo ejecute un archivo de acceso directo malicioso (.lnk) que carga y ejecuta un nuevo código de carga útil de puerta trasera de PowerShell (que se encuentra dentro de otro archivo contenido en el mismo archivo)», investigadores de seguridad Den Iuzvyk, Tim. Peck y Oleg Kolesnikov dicho.
Se dice que el ataque está relacionado con un actor de amenazas conocido como Shuckworm, que también se conoce como Aqua Blizzard (anteriormente Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 y Winterflounder. Activo desde al menos 2013, se considera que forma parte del Servicio Federal de Seguridad (FSB) de Rusia.
SUBTLE-PAWS, además de configurar la persistencia en el host, utiliza la plataforma de blogs de Telegram llamada Telegraph para recuperar la información de comando y control (C2), una técnica previamente identificada como asociada con el adversario desde principios de 2023, y que puede propagarse a través de unidades extraíbles conectadas.
La capacidad de Gamaredon para propagarse a través de unidades USB también fue documentada por Check Point en noviembre de 2023, que nombró al gusano USB basado en PowerShell LitterDrifter.
«La puerta trasera SUBTLE-PAWS utiliza técnicas avanzadas para ejecutar cargas maliciosas de forma dinámica», dijeron los investigadores.
«Almacenan y recuperan código PowerShell ejecutable del Registro de Windows, lo que puede ayudar a evadir los métodos tradicionales de detección basados en archivos. Este enfoque también ayuda a mantener la persistencia en el sistema infectado, ya que el malware puede iniciarse nuevamente después de reinicios u otras interrupciones».