Los actores patrocinados por el estado ruso continúan atacando a las entidades ucranianas con malware para robar información como parte de lo que se sospecha que es una operación de espionaje.
Symantec, una división de Broadcom Software, atribuido la campaña maliciosa a un actor de amenazas rastreó a Shuckworm, también conocido como Actinium, Armageddon, Gamaredon, Primitive Bear y Trident Ursa. Los hallazgos han sido corroborado por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA).
El actor de amenazas, activo desde al menos 2013, es conocido por señalar explícitamente a entidades públicas y privadas en Ucrania. Desde entonces, los ataques se han intensificado a raíz de la invasión militar de Rusia a fines de 2022.
Se dice que el último conjunto de ataques comenzó el 15 de julio de 2022 y continuó el 8 de agosto, y las cadenas de infección aprovecharon los correos electrónicos de phishing disfrazados de boletines y órdenes de combate, lo que finalmente condujo al despliegue de un malware ladrón de PowerShell denominado GammaLoad. .PS1_v2.
También se entregan a las máquinas comprometidas dos puertas traseras llamadas Giddome y Pterodo, las cuales son herramientas registradas de Shuckworm que los atacantes han vuelto a desarrollar continuamente en un intento por adelantarse a la detección.
En su centro, pterodo es un malware cuentagotas de Visual Basic Script (VBS) con capacidades para ejecutar scripts de PowerShell, usar tareas programadas (shtasks.exe) para mantener la persistencia y descargar código adicional desde un servidor de comando y control.
El implante Giddome, por otro lado, presenta varias capacidades, incluida la grabación de audio, la captura de capturas de pantalla, el registro de pulsaciones de teclas y la recuperación y ejecución de ejecutables arbitrarios en los hosts infectados.
Las intrusiones, que ocurren a través de correos electrónicos distribuidos desde cuentas comprometidas, aprovechan aún más el software legítimo como Ammyy Admin y AnyDesk para facilitar el acceso remoto.
Los hallazgos se producen cuando el actor de Gamaredon ha sido vinculado a un serie de ataques de ingeniería social destinado a iniciar la cadena de entrega GammaLoad.PS1, lo que permite al actor de amenazas robar archivos y credenciales almacenados en los navegadores web.
“A medida que la invasión rusa de Ucrania se acerca a la marca de los seis meses, el enfoque de mucho tiempo de Shuckworm en el país parece continuar sin cesar”, señaló Symantec.
«Si bien Shuckworm no es necesariamente el grupo de espionaje más sofisticado tácticamente, lo compensa con su enfoque y persistencia en atacar implacablemente a las organizaciones ucranianas».
Los hallazgos siguen a una alerta del CERT-UA, que advertido de ataques de phishing «sistemáticos, masivos y dispersos geográficamente» que involucran el uso de un descargador .NET llamado RelicRace para ejecutar cargas útiles como Formbook y Snake Keylogger.