El grupo de hackers ruso Shuckworm sigue atacando organizaciones de seguridad de Ucrania

Los analistas de seguridad de Symantec, parte de Broadcom, informaron que el grupo de hackers financiado por el estado ruso Gamaredon, también conocido como Shuckworm, sigue atacando las organizaciones de seguridad de Ucrania, como agencias militares y de seguridad, utilizando un conjunto de herramientas renovado y técnicas de infección más nuevas.

Los analistas de seguridad mencionan que los actores de la amenaza han comenzado a utilizar malware USB para propagarse a más sistemas dentro de la red comprometida.

Anteriormente, los hackers rusos vinculados al FSB fueron vistos utilizando ladrones de información contra organizaciones ucranianas y empleando variantes de su propio malware Pterodo, además de utilizar secuestradores de plantillas de Word predeterminadas para las nuevas infecciones.

Ahora, lo que es más interesante en la reciente actividad de Gamaredon es que están atacando a los departamentos de recursos humanos, lo que probablemente indica que los actores de la amenaza están buscando ataques de phishing dirigido dentro de la organización comprometida.

Según el informe del analista, la actividad del grupo de hackers ruso aumentó en febrero y marzo, y Gamaredon continuó haciendo sentir su presencia en algunas de las máquinas infectadas hasta mayo de 2023.

El grupo de hackers respaldado por el estado ruso todavía depende de correos electrónicos de phishing para la infección inicial. Aunque el objetivo de los actores de la amenaza son organizaciones militares y de seguridad, también se enfocan en el departamento de recursos humanos de la organización.

Los correos electrónicos de phishing de los actores de la amenaza incluyen archivos adjuntos SFX, RAR, DOCX, LNK y HTA; si el objetivo los abre, los archivos adjuntos inician el comando de PowerShell que descarga la carga útil de Pterodo desde el servidor C2 del actor de la amenaza.

El equipo de investigación de amenazas de Symantec menciona que han probado veinticinco variantes de los scripts de PowerShell desde enero hasta abril de este año, utilizando diferentes niveles de ofuscación y apuntando a diferentes direcciones IP descargadas de Pterodo para evitar reglas de detección estáticas.

Leer: El ransomware Royal utiliza el cifrador Blacksuit para atacar empresas

Bueno, el PowerShell se copia a sí mismo en el dispositivo comprometido y crea un archivo de acceso directo utilizando una extensión rtk.lnk. Los LNK creados por los scripts tienen una amplia gama de nombres, y algunos de ellos son seleccionados para despertar el interés del objetivo, como,

Login_password. docx.Ink  
sectret.rtf.Ink  
weapons_lists.rtf.Ink  
my_photos.rtf.Ink  
compromising_evidence.rtf.Ink  
account_card.rtf.Ink  
pornophoto.rtf.Ink  
instructions.rtf.Ink  
bank_accounts.rtf.Ink

A medida que la víctima abre esos archivos, el script de PowerShell lista todas las unidades en la computadora infectada y se copia a discos USB extraíbles, lo que aumenta la probabilidad de movimiento lateral dentro de la red infectada.

Además de esto, los analistas descubrieron un archivo foto.safe de una de las máquinas comprometidas por el grupo de hackers, el archivo tiene un script de PowerShell codificado en base64.

Ahora, según el equipo de investigación de amenazas, la máquina fue comprometida después de que se conectara una unidad USB infectada a la máquina. Dicho esto, aún se desconoce cómo se infectó la unidad USB.

Symantec advierte y dice que las unidades USB son posiblemente utilizadas por los actores de la amenaza para el movimiento lateral a través de la red del objetivo y podrían ser utilizadas para ayudar a los actores de la amenaza a acceder a los componentes que no están conectados a la red dentro de la organización objetivo.

Leer: El compromiso de Atomic Wallet lleva a millones de criptomonedas robadas