Los actores patrocinados por el estado ruso contin\u00faan atacando a las entidades ucranianas con malware para robar informaci\u00f3n como parte de lo que se sospecha que es una operaci\u00f3n de espionaje.<\/p>\n
Symantec, una divisi\u00f3n de Broadcom Software, atribuido<\/a> la campa\u00f1a maliciosa a un actor de amenazas rastre\u00f3 a Shuckworm, tambi\u00e9n conocido como Actinium, Armageddon, Gamaredon, Primitive Bear y Trident Ursa. Los hallazgos han sido corroborado<\/a> por el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA).<\/p>\n El actor de amenazas, activo desde al menos 2013, es conocido por se\u00f1alar expl\u00edcitamente a entidades p\u00fablicas y privadas en Ucrania. Desde entonces, los ataques se han intensificado a ra\u00edz de la invasi\u00f3n militar de Rusia a fines de 2022.<\/p>\n Se dice que el \u00faltimo conjunto de ataques comenz\u00f3 el 15 de julio de 2022 y continu\u00f3 el 8 de agosto, y las cadenas de infecci\u00f3n aprovecharon los correos electr\u00f3nicos de phishing disfrazados de boletines y \u00f3rdenes de combate, lo que finalmente condujo al despliegue de un malware ladr\u00f3n de PowerShell denominado GammaLoad. .PS1_v2.<\/p>\n Tambi\u00e9n se entregan a las m\u00e1quinas comprometidas dos puertas traseras llamadas Giddome y Pterodo, las cuales son herramientas registradas de Shuckworm que los atacantes han vuelto a desarrollar continuamente en un intento por adelantarse a la detecci\u00f3n.<\/p>\n En su centro, pterodo<\/a> es un malware cuentagotas de Visual Basic Script (VBS) con capacidades para ejecutar scripts de PowerShell, usar tareas programadas (shtasks.exe) para mantener la persistencia y descargar c\u00f3digo adicional desde un servidor de comando y control.<\/p>\n El implante Giddome, por otro lado, presenta varias capacidades, incluida la grabaci\u00f3n de audio, la captura de capturas de pantalla, el registro de pulsaciones de teclas y la recuperaci\u00f3n y ejecuci\u00f3n de ejecutables arbitrarios en los hosts infectados.<\/p>\n Las intrusiones, que ocurren a trav\u00e9s de correos electr\u00f3nicos distribuidos desde cuentas comprometidas, aprovechan a\u00fan m\u00e1s el software leg\u00edtimo como Ammyy Admin y AnyDesk para facilitar el acceso remoto.<\/p>\n Los hallazgos se producen cuando el actor de Gamaredon ha sido vinculado a un serie de ataques de ingenier\u00eda social<\/a> destinado a iniciar la cadena de entrega GammaLoad.PS1, lo que permite al actor de amenazas robar archivos y credenciales almacenados en los navegadores web.<\/p>\n \u201cA medida que la invasi\u00f3n rusa de Ucrania se acerca a la marca de los seis meses, el enfoque de mucho tiempo de Shuckworm en el pa\u00eds parece continuar sin cesar\u201d, se\u00f1al\u00f3 Symantec.<\/p>\n “Si bien Shuckworm no es necesariamente el grupo de espionaje m\u00e1s sofisticado t\u00e1cticamente, lo compensa con su enfoque y persistencia en atacar implacablemente a las organizaciones ucranianas”.<\/p>\n Los hallazgos siguen a una alerta del CERT-UA, que advertido<\/a> de ataques de phishing “sistem\u00e1ticos, masivos y dispersos geogr\u00e1ficamente” que involucran el uso de un descargador .NET llamado RelicRace para ejecutar cargas \u00fatiles como Formbook y Snake Keylogger.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"Malware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660644433_590_Hackers-estatales-rusos-continuan-atacando-entidades-ucranianas-con-software-malicioso.jpg\" "\\"Malware")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n