El Centro Estatal de Protecci\u00f3n Cibern\u00e9tica (SCPC) de Ucrania ha llamado al actor de amenazas patrocinado por el estado ruso conocido como Gamared\u00f3n<\/strong> por sus ataques cibern\u00e9ticos dirigidos a las autoridades p\u00fablicas y la infraestructura de informaci\u00f3n cr\u00edtica en el pa\u00eds.<\/p>\n La amenaza persistente avanzada, tambi\u00e9n conocida como Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa y UAC-0010, tiene un audio grabado<\/a> de entidades ucranianas en huelga que se remontan a 2013.<\/p>\n “La actividad continua del grupo UAC-0010 se caracteriza por un enfoque de descarga de varios pasos y la ejecuci\u00f3n de cargas \u00fatiles del spyware utilizado para mantener el control sobre los hosts infectados”, dijo el SCPC. dicho<\/a>. “Por ahora, el grupo UAC-0010 utiliza GammaLoad y GammaSteel<\/a> software esp\u00eda en sus campa\u00f1as”.<\/p>\n GammaLoad es un malware dropper de VBScript dise\u00f1ado para descargar VBScript de pr\u00f3xima etapa desde un servidor remoto. GammaSteel es un script de PowerShell que es capaz de realizar reconocimientos y ejecutar comandos adicionales.<\/p>\n El objetivo de los ataques est\u00e1 m\u00e1s orientado al espionaje y al robo de informaci\u00f3n que al sabotaje, se\u00f1al\u00f3 la agencia. El SCPC tambi\u00e9n enfatiz\u00f3 la evoluci\u00f3n “insistente” de las t\u00e1cticas del grupo al volver a desarrollar su conjunto de herramientas de malware para permanecer bajo el radar, llamando a Gamaredon una “amenaza cibern\u00e9tica clave”.<\/p>\n Las cadenas de ataque comienzan con correos electr\u00f3nicos de spear-phishing que contienen un archivo RAR que, cuando se abre, activa una secuencia larga que consta de cinco etapas intermedias: un archivo LNK, un archivo HTA y tres archivos VBScript, que finalmente culminan en la entrega de una carga \u00fatil de PowerShell.<\/p>\n La informaci\u00f3n relacionada con la direcci\u00f3n IP de los servidores de comando y control (C2) se publica en canales de Telegram rotados peri\u00f3dicamente, lo que corrobora un informe de BlackBerry a fines del mes pasado.<\/p>\n Todos los cuentagotas de VBScript y los scripts de PowerShell analizados, por SCPC, son variantes del malware GammaLoad y GammaSteel, respectivamente, que permiten al adversario filtrar informaci\u00f3n confidencial.<\/p>\n La divulgaci\u00f3n se produce cuando el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) revelado<\/a> detalles de una nueva campa\u00f1a maliciosa dirigida a las autoridades estatales de Ucrania y Polonia.<\/p>\n Los ataques adoptan la forma de p\u00e1ginas web similares que se hacen pasar por el Ministerio de Relaciones Exteriores de Ucrania, el Servicio de Seguridad de Ucrania y la Polic\u00eda polaca (Policja) en un intento de enga\u00f1ar a los visitantes para que descarguen un software que afirma detectar computadoras infectadas.<\/p>\n Sin embargo, al iniciar el archivo, un script por lotes de Windows llamado “Protector.bat”, conduce a la ejecuci\u00f3n de un script de PowerShell que es capaz de capturar capturas de pantalla y recopilar archivos con 19 extensiones diferentes desde la estaci\u00f3n de trabajo.<\/p>\n CERT-UA ha atribuido la operaci\u00f3n a un actor de amenazas al que llama UAC-0114, tambi\u00e9n conocido como invierno viverno<\/a> – un grupo de actividades<\/a> que en el pasado aprovech\u00f3 documentos de Microsoft Excel armados que conten\u00edan macros XLM para implementar implantes de PowerShell en hosts comprometidos.<\/p>\n La invasi\u00f3n rusa de Ucrania en febrero de 2022 ha sido complementado<\/a> por campa\u00f1as de phishing dirigidas, destructivo<\/a> ataques de malware y ataques distribuidos de denegaci\u00f3n de servicio (DDoS).<\/p>\n