El grupo Gamaredon, vinculado a Rusia, intentó sin éxito ingresar a una gran empresa de refinación de petróleo dentro de un estado miembro de la OTAN a principios de este año en medio de la guerra ruso-ucraniana en curso.
El ataque, que tuvo lugar el 30 de agosto de 2022, es solo uno de los múltiples ataques orquestados por la amenaza persistente avanzada (APT) que se atribuye al Servicio de Seguridad Federal (FSB) de Rusia.
Gamaredon, también conocido por los apodos Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa y Winterflounder, tiene un historial de perseguir principalmente a entidades ucranianas y, en menor medida, a aliados de la OTAN para recopilar datos confidenciales.
«A medida que el conflicto ha continuado sobre el terreno y en el ciberespacio, Trident Ursa ha estado operando como un creador de acceso dedicado y un recopilador de inteligencia», Palo Alto Networks Unit 42 dijo en un informe compartido con The Hacker News. «Trident Ursa sigue siendo una de las APT más omnipresentes, intrusivas, continuamente activas y centradas en Ucrania».
El monitoreo continuo de Unit 42 de las actividades del grupo ha descubierto más de 500 nuevos dominios, 200 muestras de malware y múltiples cambios en sus tácticas durante los últimos 10 meses en respuesta a prioridades en constante cambio y expansión.
Más allá de los ataques cibernéticos, se dice que la comunidad de seguridad en general recibió los tweets amenazantes de un supuesto asociado de Gamaredon, destacando las técnicas de intimidación adoptadas por el adversario.
Otros métodos dignos de mención incluyen el uso de páginas de Telegram para buscar servidores de comando y control (C2) y DNS de flujo rápido para rotar a través de muchas direcciones IP en un corto período de tiempo para hacer que los esfuerzos de denegación y eliminación basados en IP sean más difíciles.
Los ataques en sí implican la entrega de archivos adjuntos armados incrustados en correos electrónicos de phishing para implementar una puerta trasera VBScript en el host comprometido que es capaz de establecer persistencia y ejecutar código VBScript adicional proporcionado por el servidor C2.
También se han observado cadenas de infección de Gamaredon que aprovechan el geobloqueo para limitar los ataques a ubicaciones específicas junto con la utilización de ejecutables cuentagotas para lanzar cargas útiles de VBScript de próxima etapa, que posteriormente se conectan al servidor C2 para ejecutar más comandos.
El mecanismo de geobloqueo funciona como un punto ciego de seguridad, ya que reduce la visibilidad de los ataques del actor de amenazas fuera de los países objetivo y hace que sus actividades sean más difíciles de rastrear.
«Trident Ursa sigue siendo una APT ágil y adaptable que no utiliza técnicas demasiado sofisticadas o complejas en sus operaciones», dijeron los investigadores. «En la mayoría de los casos, confían en herramientas y secuencias de comandos disponibles públicamente, junto con una cantidad significativa de ofuscación, así como en intentos de phishing de rutina para ejecutar con éxito sus operaciones».