El grupo de espionaje cibernético patrocinado por el estado ruso conocido como Gamaredon ha continuado su embestida digital contra Ucrania, con ataques recientes aprovechando la popular aplicación de mensajería Telegram para atacar a los sectores militares y policiales en el país.
“La infraestructura de red del grupo Gamaredon se basa en cuentas de Telegram de múltiples etapas para la creación de perfiles de víctimas y la confirmación de la ubicación geográfica, y finalmente lleva a la víctima al servidor de la siguiente etapa para la carga útil final”, dijo el equipo de investigación e inteligencia de BlackBerry. dicho en un informe compartido con The Hacker News. “Este tipo de técnica para infectar sistemas objetivo es nueva”.
Gamaredóntambién conocido por nombres como Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa y Winterflounder, es conocido por sus ataques contra entidades ucranianas desde al menos 2013.
El mes pasado, la Unidad 42 de Palo Alto Networks reveló los intentos fallidos del actor de amenazas de ingresar a una compañía de refinación de petróleo no identificada dentro de un estado miembro de la OTAN en medio de la guerra ruso-ucraniana.
Las cadenas de ataque montadas por el actor de amenazas han empleado documentos legítimos de Microsoft Office que se originaron en organizaciones gubernamentales ucranianas como señuelos en correos electrónicos de phishing para entregar malware capaz de recopilar información confidencial.
Estos documentos, cuando se abren, cargan una plantilla maliciosa desde una fuente remota (una técnica llamada inyección de plantilla remota), eludiendo de manera efectiva la necesidad de habilitar macros para violar los sistemas de destino y propagar la infección.
Los últimos hallazgos de BlackBerry demuestran una evolución en las tácticas del grupo, en las que se utiliza un canal de Telegram codificado para obtener la dirección IP del servidor que aloja el malware. Las direcciones IP se rotan periódicamente para pasar desapercibidas.
Con ese fin, la plantilla remota está diseñada para obtener una secuencia de comandos de VBA, que suelta un archivo VBScript que luego se conecta a la dirección IP especificada en el canal de Telegram para obtener la siguiente etapa: una secuencia de comandos de PowerShell que, a su vez, llega a una dirección IP diferente para obtener un archivo PHP.
Este archivo PHP tiene la tarea de ponerse en contacto con otro canal de Telegram para recuperar una tercera dirección IP que contiene la carga útil final, que es un malware de robo de información que Cisco Talos reveló previamente en septiembre de 2022.
También vale la pena señalar que la secuencia de comandos de VBA, muy ofuscada, solo se entrega si la dirección IP del objetivo se encuentra en Ucrania.
“El grupo de amenazas cambia las direcciones IP dinámicamente, lo que hace que sea aún más difícil automatizar el análisis a través de técnicas de sandbox una vez que la muestra ha caducado”, señaló BlackBerry.
“El hecho de que las direcciones IP sospechosas cambien solo durante el horario laboral de Europa del Este sugiere fuertemente que el actor de amenazas trabaja desde una ubicación y con toda probabilidad pertenece a una unidad cibernética ofensiva que despliega operaciones maliciosas contra Ucrania”.
El desarrollo se produce como el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) atribuido a ataque de malware destructivo apuntando a la Agencia Nacional de Noticias de Ucrania al grupo de piratería Sandworm vinculado a Rusia.