Parte del compromiso de eSoft LATAM es mantenerse al día respecto a los ataques de ciberseguridad que más pueden afectar a los sistemas y tecnologías de información. En esta oportunidad les compartimos este artículo muy completo realizado por el equipo de Cazadores de Amenazas de Symantec donde se habla de la importancia de protegerse contra Shuckworm el grupo de espionaje relacionado con Rusia cuyo objetivo principal han sido distintos tipos de organizaciones ucranianas.
Los atacantes se centraron en gran medida en adquirir inteligencia militar y de seguridad para apoyar a las fuerzas invasoras.
El grupo de espionaje Shuckworm continúa lanzando múltiples ataques cibernéticos contra Ucrania, con objetivos recientes que incluyen servicios de seguridad, militares y organizaciones gubernamentales.
En algunos casos, Shuckworm ha logrado organizar intrusiones de larga duración, que duran hasta tres meses. Los atacantes intentaron repetidamente acceder y robar información confidencial, como informes sobre la muerte de miembros del servicio militar ucraniano, enfrentamientos enemigos, ataques aéreos, inventarios de arsenales, entrenamiento militar y más.
En un intento por adelantarse a la detección, Shuckworm ha actualizado repetidamente su conjunto de herramientas, implementando nuevas versiones de herramientas conocidas e infraestructura de corta duración, junto con nuevas incorporaciones, como el malware de propagación USB.
Shuckworm (también conocido como Gamaredon, Armageddon) es un grupo vinculado a Rusia que ha centrado sus operaciones casi exclusivamente en Ucrania desde que apareció por primera vez en 2014. Los funcionarios ucranianos han declarado públicamente que el grupo opera en nombre del Servicio de Seguridad Federal de Rusia (FSB)
Tácticas, técnicas y procedimientos de Shuckworm
Se sabe que Shuckworm usa correos electrónicos de phishing como un vector de infección inicial para obtener acceso a las máquinas de las víctimas y distribuir el malware. Los atacantes envían correos electrónicos con archivos adjuntos maliciosos a las víctimas ucranianas, con archivos adjuntos de varios tipos de archivos, como:
.docx
.rar (archivos de almacenamiento RAR)
.sfx (archivos autoextraíbles)
.lnk
.hta (archivos de contrabando HTML)
Los señuelos para las víctimas, que observó el Equipo de Detección de Amenazas de Symantec, están relacionados con los conflictos armados, los procesos penales, el combate de la delincuencia y la protección de la niñez, entre otros.
Una vez que las víctimas se infectaron, los atacantes procedieron a descargar puertas traseras y herramientas adicionales en las máquinas objetivo.
También se ha observado que Shuckworm usa un nuevo script de PowerShell para propagar su malware de puerta trasera personalizado, Pterodo, a través de USB. Investigadores de Symantec by Broadcom, publicaron un blog sobre Backdoor.Pterodo en abril de 2022, documentando cómo se habían encontrado cuatro variantes de la puerta trasera con una funcionalidad similar. Dichas variantes son droppers de Visual Basic Script (VBS) que sueltan un archivo VBScript, usan tareas programadas (shtasks.exe) para mantener la persistencia y descargarán código adicional de un servidor de comando y control (C&C).
Los ejemplos de tareas programadas recientes incluyen la ejecución de las siguientes líneas de comando:
CSIDL_SYSTEM\wscript.exe «CSIDL_PROFILE\appdata\local\temp\desert» //e:vbscript //b /dmc /j2k /spl /nff
SISTEMA_CSIDL\wscript.exe «PERFIL_CSIDL\favoritos\jumper.asf» //e:vbscript //b /asf /mdf /nab /apk
wscript.exe «C:\Usuarios\[ELIMINADO]\Contactos\delightful.abk» //e:vbscript //b /cfg /mdm /cfm /mp4
El nuevo script de PowerShell se usa para copiarse primero en la máquina infectada y crear un archivo de acceso directo con una extensión rtk.lnk . El script usa nombres de archivo como «porn_video.rtf.lnk», «do_not_delete.rtf.lnk» y «evidence.rtf.lnk» en un intento de atraer a las personas para que abran los archivos. Estos nombres de archivo generalmente están en ucraniano, pero algunos también están en inglés.
A continuación, el script enumera todas las unidades y se copia a sí mismo en cualquier disco extraíble disponible como unidades USB. Es probable que los atacantes utilicen estas unidades USB para el movimiento lateral a través de las redes de las víctimas y así pueden usarse para llegar a las máquinas con brechas de seguridad dentro de las organizaciones objetivo.
En esta actividad reciente, también se observó que el grupo aprovechaba servicios legítimos para actuar como servidores de C&C, incluido el uso del servicio de mensajería Telegram para su infraestructura de C&C. Más recientemente, también han utilizado la plataforma de microblogging de Telegram, llamada Telegraph, para almacenar direcciones de C&C.
Shuckworm tiende a usar su infraestructura de C&C solo durante cortos períodos de tiempo, lo que limita la utilidad de sus C&C cuando se trata de encontrar más actividad o vincular actividades. Sin embargo, el grupo utiliza certificados SSL que tienen algunos puntos en común que pueden aprovecharse para fines de seguimiento. El Equipo de Detección de Amenazas de Symantec cree que es probable que el grupo esté aprovechando imágenes preconfiguradas para su implementación de C&C. Estos puntos de datos pueden ayudar a los investigadores a identificar infraestructura adicional de C&C y actividad de Shuckworm.
Symantec también vio lo que probablemente era Giddome, una herramienta de robo de información que es una puerta trasera conocida de Shuckworm, implementada en las redes de las víctimas para robar y extraer datos de interés.
Víctimas
Una de las cosas más significativas de esta campaña son los objetivos, que incluyen organizaciones militares, de seguridad, de investigación y gubernamentales de Ucrania. Se observó a los atacantes enfocándose en máquinas que contenían lo que parecía ser información militar confidencial de los nombres de los archivos que se puede abusar para apoyar los esfuerzos de guerra cinética rusa.
La mayoría de estos ataques comenzaron en febrero/marzo de 2023, y los atacantes mantuvieron su presencia en algunas de las máquinas víctimas hasta mayo. Los sectores y la naturaleza de las organizaciones y máquinas objetivo pueden haber dado a los atacantes acceso a cantidades significativas de información confidencial. También, hubo indicios en algunas organizaciones de que los atacantes estaban en las máquinas de los departamentos de recursos humanos de las organizaciones, lo que indica que la información sobre las personas que trabajan en las diversas organizaciones es una prioridad para los atacantes.
Esta actividad demuestra que el enfoque implacable de Shuckworm en Ucrania continúa. Parece claro que los grupos de ataque respaldados por el estado-nación ruso continúan priorizando objetivos ucranianos de alto valor en un intento de encontrar datos que puedan ayudar a sus operaciones militares.
Protección / Mitigación
Para obtener las últimas actualizaciones de protección, visite el Boletín de protección de Symantec.
Entre las recomendaciones principales que da el equipo de cazadores de amenazas de Symantec para fortalecer la seguridad en los equipos de trabajo están tener cuidado con los ataques de chuckworm, implementar mayores estándares y controles de seguridad, así como fortalecer a los equipos en conocimiento de los principales métodos que usan los cibercriminales para robar y/o secuestrar la información.
Como Partner Tier 1 / VAD de Broadcom y Partner Premiere de Symantec en eSoft LATAM podemos ofrecerle soluciones de seguridad de clase mundial Symantec, premiadas y reconocidas por su efectividad para proteger todos los vectores de ataque bajo los principios de Zero Trust y el acompañamiento de un equipo técnico especializado y certificado en productos Broadcom y Symantec. Solicite su Demo Gratis aquí.