Il Gruppo Hacker Russo Shuckworm Continua a Prendere di Mira le Organizzazioni di Sicurezza dell'Ucraina

Gli analisti della sicurezza di Symantec, parte di Broadcom, hanno riportato che il gruppo hacker finanziato dallo stato russo Gamaredon alias Shuckworm, sta ancora prendendo di mira le organizzazioni di sicurezza dell’Ucraina, come agenzie militari e di sicurezza, utilizzando un toolkit aggiornato e tecniche di infezione più recenti.

Gli analisti della sicurezza menzionano che gli attori della minaccia hanno recentemente iniziato a utilizzare malware USB per diffondersi a più sistemi all’interno della rete compromessa.

In precedenza, gli hacker russi legati al FSB erano stati avvistati mentre utilizzavano i rubatori di informazioni contro le organizzazioni ucraine e impiegavano varianti del loro malware Pterodo insieme all’utilizzo di hijacker di modelli Word predefiniti per le nuove infezioni.

Ora, ciò che è più interessante nell’attività recente di Gamaredon è che stanno prendendo di mira i dipartimenti HR, il che probabilmente indica che gli attori della minaccia stanno cercando attacchi di spear phishing all’interno dell’organizzazione compromessa.

Secondo il rapporto degli analisti, l’attività del gruppo hacker russo è aumentata a febbraio e marzo, e Gamaredon ha continuato a far sentire la propria presenza in alcune delle macchine infette fino a maggio 2023.

Il gruppo hacker sostenuto dallo stato russo si affida ancora alle email di phishing per l’infezione iniziale. Sebbene il target degli attori della minaccia siano organizzazioni militari e di sicurezza, si concentrano anche sul dipartimento HR dell’organizzazione.

Le email di phishing degli attori della minaccia includono allegati SFX, RAR, DOCX, LNK e HTA; se il target le apre, gli allegati avviano il comando PowerShell che scarica il payload Pterodo dal server C2 dell’attore della minaccia.

Il team di ricerca sulle minacce, Symantec, menziona di aver testato venticinque varianti degli script Powershell da gennaio ad aprile di quest’anno, utilizzando diversi livelli di offuscamento e puntando a diversi indirizzi IP scaricati di Pterodo per evitare regole di rilevamento statico.

Leggi: Il Ransomware Reale Usa l’Encryptor Blacksuit per Attaccare le Imprese

Bene, il PowerShell si copia sul dispositivo compromesso e crea un file di collegamento utilizzando un’estensione rtk.lnk. I LNK creati dagli script assumono una vasta gamma di nomi, e alcuni di essi sono selezionati per suscitare l’interesse del target come,

Login_password. docx.Ink  
sectret.rtf.Ink  
weapons_lists.rtf.Ink  
my_photos.rtf.Ink  
compromising_evidence.rtf.Ink  
account_card.rtf.Ink  
pornophoto.rtf.Ink  
instructions.rtf.Ink  
bank_accounts.rtf.Ink

Quando la vittima apre quei file, lo script PowerShell elenca tutte le unità del computer infetto e si copia su dischi USB rimovibili, aumentando la probabilità di movimento laterale all’interno della rete infetta.

In aggiunta a questo, gli analisti hanno scoperto un file foto.safe da una delle macchine compromesse dal gruppo hacker, il file contiene uno script PowerShell codificato in base64.

Ora, secondo il team di ricerca sulle minacce, la macchina è stata compromessa dopo che un’unità USB infetta è stata collegata alla macchina. Detto ciò, è ancora sconosciuto come l’unità USB sia stata infettata.

Symantec avverte e dice che le unità USB sono probabilmente utilizzate dagli attori della minaccia per il movimento laterale attraverso la rete del target e potrebbero essere utilizzate per aiutare gli attori della minaccia a raggiungere i componenti che non sono connessi alla rete all’interno dell’organizzazione target.

Leggi: Il Compromesso di Atomic Wallet Porta a Milioni di Criptovalute Rubate