 |
El grupo Gamaredon, vinculado a Rusia, intentó sin éxito entrar en una gran empresa de refinado de petróleo de un Estado miembro de la OTAN a principios de este año, en medio de la guerra ruso-ucraniana. El ataque, que tuvo lugar el 30 de agosto de 2022, es sólo una de las múltiples intrusiones orquestadas por la amenaza persistente avanzada (APT) que se atribuye al Servicio Federal de Seguridad de Rusia (FSB). |
Gamaredon, también conocido por los nombres de Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa y Winterflounder, ha atacado principalmente a entidades ucranianas y, en menor medida, a aliados de la OTAN para obtener datos confidenciales.
"A medida que el conflicto ha continuado sobre el terreno y en el ciberespacio, Trident Ursa ha estado operando como un creador de acceso dedicado y recopilador de inteligencia", dijo Palo Alto Networks Unidad 42 en un informe compartido con The Hacker News. "Trident Ursa sigue siendo una de las APT más omnipresentes, intrusivas, continuamente activas y centradas en Ucrania".
El seguimiento continuado de las actividades del grupo por parte de la Unidad 42 ha descubierto más de 500 nuevos dominios, 200 muestras de malware y múltiples cambios en sus tácticas durante los últimos 10 meses en respuesta a unas prioridades en constante evolución y expansión.
Más allá de los ciberataques, los investigadores de seguridad que pusieron de relieve las actividades de la banda en los días previos a la invasión militar de febrero de 2022 han recibido tuits amenazadores de un supuesto asociado de Gamaredon, lo que subraya las técnicas de intimidación adoptadas por el atacante.
Otros métodos dignos de mención incluyen el uso de páginas de Telegram para buscar servidores de comando y control (C2) y DNS de flujo rápido para rotar a través de muchas direcciones IP en un corto espacio de tiempo para dificultar los esfuerzos de denegación y retirada basados en IP.
Los ataques en sí implican la entrega de archivos adjuntos armados incrustados en correos electrónicos de spear-phishing para desplegar una puerta trasera VBScript en el host comprometido que es capaz de establecer la persistencia y la ejecución de código VBScript adicional suministrado por el servidor C2.
También se han observado cadenas de infección de Gamaredon que aprovechan el geobloqueo para limitar los ataques a ubicaciones específicas, junto con la utilización de ejecutables dropper para lanzar cargas útiles VBScript de siguiente etapa, que posteriormente se conectan al servidor C2 para ejecutar otros comandos.
El mecanismo de geobloqueo funciona como un punto ciego de seguridad, ya que reduce la visibilidad de los ataques del actor de la amenaza fuera de los países objetivo y dificulta el seguimiento de sus actividades.
"Trident Ursa sigue siendo una APT ágil y adaptable que no utiliza técnicas demasiado sofisticadas o complejas en sus operaciones", afirman los investigadores. "En la mayoría de los casos, se basan en herramientas y scripts disponibles públicamente -junto con una cantidad significativa de ofuscación-, así como en intentos rutinarios de phishing para ejecutar con éxito sus operaciones."
Fuente: https://thehackernews.com/2022/12/russian-hackers-target-major-petroleum.html