El actor de amenazas ruso conocido como Gusano ha continuado su ola de ataques cibernéticos contra entidades ucranianas en un intento por robar información confidencial de entornos comprometidos.
Los objetivos de las intrusiones recientes, que comenzaron en febrero/marzo de 2023, incluyen servicios de seguridad, organizaciones militares y gubernamentales, Symantec dicho en un nuevo informe compartido con The Hacker News.
«En algunos casos, el grupo ruso logró organizar intrusiones de larga duración, que duraron hasta tres meses», dijo la compañía de seguridad cibernética.
«Los atacantes intentaron repetidamente acceder y robar información confidencial, como informes sobre la muerte de miembros del servicio ucraniano, informes de enfrentamientos enemigos y ataques aéreos, informes de inventario de arsenal, informes de entrenamiento y más».
Shuckworm, también conocido por los nombres Aqua Blizzard (anteriormente Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 y Winterflounder, se atribuye al Servicio de Seguridad Federal de Rusia (FSB). Se dice que está activo desde al menos 2013.
Las actividades de espionaje cibernético consisten en campañas de phishing dirigido que están diseñadas para atraer a las víctimas para que abran archivos adjuntos con trampas explosivas, lo que en última instancia conduce al despliegue de ladrones de información como Giddome, Pterodo, GammaLoad y GammaSteel en hosts infectados.
«Iron Tilden sacrifica parte de la seguridad operativa en favor de las operaciones de alto ritmo, lo que significa que su infraestructura es identificable mediante el uso regular de proveedores de DNS dinámico específicos, proveedores de alojamiento rusos y técnicas de inyección remota de plantillas», Secureworks notas en su perfil del actor de amenazas.
En el último conjunto de ataques detallado por Symantec, se observó que los actores de amenazas utilizan un nuevo script de PowerShell para propagar la puerta trasera de Pterodo a través de unidades USB.
Si bien el uso de los canales de Telegram por parte de Shuckworm para recuperar la dirección IP del servidor que aloja las cargas útiles está bien documentado, se dice que el actor de amenazas amplió la técnica para almacenar direcciones de comando y control (C2) en Telegraph, una plataforma de blogs propiedad de Telegrama.
El grupo también utiliza un script de PowerShell («foto.safe») que se propaga a través de controladores USB comprometidos y cuenta con capacidades para descargar malware adicional en el host.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Un análisis más detallado de las intrusiones muestra que el adversario logró violar las máquinas de los departamentos de recursos humanos de las organizaciones objetivo, lo que sugiere sus intentos de recopilar información sobre varias personas que trabajan en esas entidades.
Los hallazgos son otra indicación más de la continua dependencia de Shuckworm en una infraestructura de corta duración y su constante evolución de tácticas y herramientas para mantenerse a la vanguardia de la curva de detección.
También llegan un día después de que Microsoft arrojara luz sobre los ataques destructivos, el espionaje y las operaciones de información llevadas a cabo por otro actor del estado-nación ruso conocido como Cadet Blizzard contra Ucrania.
«Esta actividad demuestra que el enfoque implacable de Shuckworm en Ucrania continúa», dijo Symantec. «Parece claro que los grupos de ataque respaldados por el estado-nación ruso continúan apuntando con láser a los objetivos ucranianos en un intento de encontrar datos que puedan ayudar a sus operaciones militares».