El grupo de espionaje cibern\u00e9tico patrocinado por el estado ruso conocido como Gamaredon ha continuado su embestida digital contra Ucrania, con ataques recientes aprovechando la popular aplicaci\u00f3n de mensajer\u00eda Telegram para atacar a los sectores militares y policiales en el pa\u00eds.<\/p>\n
“La infraestructura de red del grupo Gamaredon se basa en cuentas de Telegram de m\u00faltiples etapas para la creaci\u00f3n de perfiles de v\u00edctimas y la confirmaci\u00f3n de la ubicaci\u00f3n geogr\u00e1fica, y finalmente lleva a la v\u00edctima al servidor de la siguiente etapa para la carga \u00fatil final”, dijo el equipo de investigaci\u00f3n e inteligencia de BlackBerry. dicho<\/a> en un informe compartido con The Hacker News. “Este tipo de t\u00e9cnica para infectar sistemas objetivo es nueva”.<\/p>\n Gamared\u00f3n<\/a>tambi\u00e9n conocido por nombres como Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa y Winterflounder, es conocido por sus ataques contra entidades ucranianas desde al menos 2013.<\/p>\n El mes pasado, la Unidad 42 de Palo Alto Networks revel\u00f3 los intentos fallidos del actor de amenazas de ingresar a una compa\u00f1\u00eda de refinaci\u00f3n de petr\u00f3leo no identificada dentro de un estado miembro de la OTAN en medio de la guerra ruso-ucraniana.<\/p>\n Las cadenas de ataque montadas por el actor de amenazas han empleado documentos leg\u00edtimos de Microsoft Office que se originaron en organizaciones gubernamentales ucranianas como se\u00f1uelos en correos electr\u00f3nicos de phishing para entregar malware capaz de recopilar informaci\u00f3n confidencial.<\/p>\n Estos documentos, cuando se abren, cargan una plantilla maliciosa desde una fuente remota (una t\u00e9cnica llamada inyecci\u00f3n de plantilla remota), eludiendo de manera efectiva la necesidad de habilitar macros para violar los sistemas de destino y propagar la infecci\u00f3n.<\/p>\n Los \u00faltimos hallazgos de BlackBerry demuestran una evoluci\u00f3n en las t\u00e1cticas del grupo, en las que se utiliza un canal de Telegram codificado para obtener la direcci\u00f3n IP del servidor que aloja el malware. Las direcciones IP se rotan peri\u00f3dicamente para pasar desapercibidas.<\/p>\n Con ese fin, la plantilla remota est\u00e1 dise\u00f1ada para obtener una secuencia de comandos de VBA, que suelta un archivo VBScript que luego se conecta a la direcci\u00f3n IP especificada en el canal de Telegram para obtener la siguiente etapa: una secuencia de comandos de PowerShell que, a su vez, llega a una direcci\u00f3n IP diferente para obtener un archivo PHP.<\/p>\n Este archivo PHP tiene la tarea de ponerse en contacto con otro canal de Telegram para recuperar una tercera direcci\u00f3n IP que contiene la carga \u00fatil final, que es un malware de robo de informaci\u00f3n que Cisco Talos revel\u00f3 previamente en septiembre de 2022.<\/p>\n Tambi\u00e9n vale la pena se\u00f1alar que la secuencia de comandos de VBA, muy ofuscada, solo se entrega si la direcci\u00f3n IP del objetivo se encuentra en Ucrania.<\/p>\n \u201cEl grupo de amenazas cambia las direcciones IP din\u00e1micamente, lo que hace que sea a\u00fan m\u00e1s dif\u00edcil automatizar el an\u00e1lisis a trav\u00e9s de t\u00e9cnicas de sandbox una vez que la muestra ha caducado\u201d, se\u00f1al\u00f3 BlackBerry.<\/p>\n “El hecho de que las direcciones IP sospechosas cambien solo durante el horario laboral de Europa del Este sugiere fuertemente que el actor de amenazas trabaja desde una ubicaci\u00f3n y con toda probabilidad pertenece a una unidad cibern\u00e9tica ofensiva que despliega operaciones maliciosas contra Ucrania”.<\/p>\n El desarrollo se produce como el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) atribuido<\/a> a ataque de malware destructivo<\/a> apuntando a la Agencia Nacional de Noticias de Ucrania al grupo de pirater\u00eda Sandworm vinculado a Rusia.<\/p>\n <\/p>\n