El Centro Estatal de Protección Cibernética (SCPC) de Ucrania ha llamado al actor de amenazas patrocinado por el estado ruso conocido como Gamaredón por sus ataques cibernéticos dirigidos a las autoridades públicas y la infraestructura de información crítica en el país.
La amenaza persistente avanzada, también conocida como Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa y UAC-0010, tiene un audio grabado de entidades ucranianas en huelga que se remontan a 2013.
«La actividad continua del grupo UAC-0010 se caracteriza por un enfoque de descarga de varios pasos y la ejecución de cargas útiles del spyware utilizado para mantener el control sobre los hosts infectados», dijo el SCPC. dicho. «Por ahora, el grupo UAC-0010 utiliza GammaLoad y GammaSteel software espía en sus campañas».
GammaLoad es un malware dropper de VBScript diseñado para descargar VBScript de próxima etapa desde un servidor remoto. GammaSteel es un script de PowerShell que es capaz de realizar reconocimientos y ejecutar comandos adicionales.
El objetivo de los ataques está más orientado al espionaje y al robo de información que al sabotaje, señaló la agencia. El SCPC también enfatizó la evolución «insistente» de las tácticas del grupo al volver a desarrollar su conjunto de herramientas de malware para permanecer bajo el radar, llamando a Gamaredon una «amenaza cibernética clave».
Las cadenas de ataque comienzan con correos electrónicos de spear-phishing que contienen un archivo RAR que, cuando se abre, activa una secuencia larga que consta de cinco etapas intermedias: un archivo LNK, un archivo HTA y tres archivos VBScript, que finalmente culminan en la entrega de una carga útil de PowerShell.
La información relacionada con la dirección IP de los servidores de comando y control (C2) se publica en canales de Telegram rotados periódicamente, lo que corrobora un informe de BlackBerry a fines del mes pasado.
Todos los cuentagotas de VBScript y los scripts de PowerShell analizados, por SCPC, son variantes del malware GammaLoad y GammaSteel, respectivamente, que permiten al adversario filtrar información confidencial.
La divulgación se produce cuando el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) revelado detalles de una nueva campaña maliciosa dirigida a las autoridades estatales de Ucrania y Polonia.
Los ataques adoptan la forma de páginas web similares que se hacen pasar por el Ministerio de Relaciones Exteriores de Ucrania, el Servicio de Seguridad de Ucrania y la Policía polaca (Policja) en un intento de engañar a los visitantes para que descarguen un software que afirma detectar computadoras infectadas.
Sin embargo, al iniciar el archivo, un script por lotes de Windows llamado «Protector.bat», conduce a la ejecución de un script de PowerShell que es capaz de capturar capturas de pantalla y recopilar archivos con 19 extensiones diferentes desde la estación de trabajo.
CERT-UA ha atribuido la operación a un actor de amenazas al que llama UAC-0114, también conocido como invierno viverno – un grupo de actividades que en el pasado aprovechó documentos de Microsoft Excel armados que contenían macros XLM para implementar implantes de PowerShell en hosts comprometidos.
La invasión rusa de Ucrania en febrero de 2022 ha sido complementado por campañas de phishing dirigidas, destructivo ataques de malware y ataques distribuidos de denegación de servicio (DDoS).
La firma de ciberseguridad Trellix lo dijo observado un aumento de 20 veces en los ataques cibernéticos basados en correo electrónico en los sectores público y privado de Ucrania en la tercera semana de noviembre de 2022, atribuyendo la mayoría de los mensajes a Gamaredon.
Otras familias de malware difundidas de manera destacada a través de estas campañas incluyen Houdini RAT, FormBook, Remcos y Andromeda, el último de los cuales ha sido reutilizado por el equipo de piratería de Turla para implementar su propio malware.
«A medida que continúa la guerra entre Ucrania y Rusia, los ataques cibernéticos contra la energía, el gobierno y el transporte, la infraestructura, el sector financiero, etc. de Ucrania continúan de manera constante», dijo Trellix. «En tiempos de tal pánico y malestar, los atacantes buscan capitalizar la distracción y el estrés de las víctimas para explotarlas con éxito».