Una campaña de espionaje en curso operada por el grupo Gamaredon, vinculado a Rusia, se dirige a los empleados del gobierno ucraniano, las agencias de defensa y las fuerzas del orden con una pieza de malware de robo de información hecho a medida.
“El adversario está utilizando documentos de phishing que contienen señuelos relacionados con la invasión rusa de Ucrania”, afirman los investigadores de Cisco Talos, Asheer Malhotra y Guilherme Venere. dijo en un artículo técnico compartido con The Hacker News. “Los archivos LNK, PowerShell y VBScript permiten el acceso inicial, mientras que los archivos binarios maliciosos se implementan en la fase posterior a la infección”.
Activo desde 2013, Gamaredon, también conocido como Actinium, Armageddon, Primitive Bear, Shuckworm y Trident Ursa, se ha relacionado con numerosos ataques dirigidos a entidades ucranianas tras la invasión militar rusa de Ucrania a finales de febrero de 2022.
La operación de phishing dirigida, observada recientemente en agosto de 2022, también sigue a intrusiones similares descubiertas por Symantec el mes pasado que involucran el uso de malware como Giddome y Pterodo. El objetivo principal de estos ataques es establecer un acceso a largo plazo para el espionaje y el robo de datos.
Implica aprovechar documentos señuelo de Microsoft Word que contienen señuelos relacionados con la invasión rusa de Ucrania distribuidos a través de mensajes de correo electrónico para infectar a los objetivos. Cuando se abren, las macros ocultas dentro de las plantillas remotas se ejecutan para recuperar archivos RAR que contienen LNK.
Los archivos LNK aparentemente hacen referencia a informes de inteligencia relacionados con la invasión rusa de Ucrania para engañar a las víctimas desprevenidas para que abran los accesos directos, lo que resulta en la ejecución de un script de baliza de PowerShell que finalmente allana el camino para las cargas útiles de la próxima etapa.
Esto incluye otro script de PowerShell que se utiliza para brindar acceso persistente al sistema comprometido y entregar malware adicional, incluido un nuevo malware capaz de saquear archivos (.doc, .docx, .xls, .rtf, .odt, .txt, .jpg, . jpeg, .pdf, .ps1, .rar, .zip, .7z y .mdb) de la máquina, así como cualquier unidad extraíble conectada a ella.
“El ladrón de información es un malware de doble propósito que incluye capacidades para exfiltrar tipos de archivos específicos y desplegar cargas útiles binarias y basadas en secuencias de comandos adicionales en un punto final infectado”, dijeron los investigadores, y agregaron que puede ser un componente de la familia de puertas traseras Giddome.
Los hallazgos llegan en un momento en que los ataques cibernéticos continúan siendo una parte importante de la estrategia de guerra híbrida moderna en medio del conflicto entre Rusia y Ucrania. A principios de este mes, el Grupo de Análisis de Amenazas (TAG) de Google reveló hasta cinco campañas diferentes montadas por un grupo con vínculos con el cártel de delitos cibernéticos Conti.