El grupo de piratería Gamaredon, vinculado a Rusia, intentó comprometer a una entidad gubernamental occidental no identificada que opera en Ucrania el mes pasado en medio de las tensiones geopolíticas en curso entre los dos países.
El equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks, en un nuevo reporte publicado el 3 de febrero, dijo que el ataque de phishing tuvo lugar el 19 de enero y agregó que «trazó tres grandes grupos de su infraestructura utilizados para admitir diferentes propósitos de phishing y malware».
El actor de amenazas, también conocido como Shuckworm, Armageddon o Primitive Bear, ha centrado históricamente sus ataques cibernéticos ofensivos contra funcionarios y organizaciones del gobierno ucraniano desde 2013. El año pasado, Ucrania reveló los vínculos del colectivo con el Servicio Federal de Seguridad (FSB) de Rusia.
Para llevar a cabo el ataque de phishing, los operadores detrás de la campaña aprovecharon una plataforma de búsqueda de empleo y empleo dentro del país como conducto para cargar su descargador de malware en forma de currículum para una lista de trabajo activa relacionada con la entidad objetivo.
«Dados los pasos y la entrega de precisión involucrada en esta campaña, parece que esto puede haber sido un intento específico y deliberado de Gamaredon para comprometer a esta organización gubernamental occidental», señalaron los investigadores.
Además, la Unidad 42 descubrió evidencia de una campaña de Gamaredon dirigida al Servicio Estatal de Migración (SMS) de Ucrania el 1 de diciembre de 2021, que utilizó un documento de Word como señuelo para instalar el código abierto. UltraVNC software de computación de red virtual (VNC) para mantener el acceso remoto a las computadoras infectadas.
«Los actores de Gamaredon persiguen un enfoque interesante cuando se trata de construir y mantener su infraestructura», dijeron los investigadores. «La mayoría de los actores optan por descartar dominios después de su uso en una campaña cibernética para distanciarse de cualquier posible atribución. Sin embargo, el enfoque de Gamaredon es único en el sentido de que parecen reciclar sus dominios rotándolos constantemente en una nueva infraestructura».
En conjunto, la infraestructura de ataque abarca no menos de 700 dominios no autorizados, 215 direcciones IP y más de 100 muestras de malware, y los grupos se utilizan para alojar documentos armados que están diseñados para ejecutar código malicioso cuando se abren y sirven como comando y comando. servidores de control para su pterodo (también conocido como Pteranodon) troyano de acceso remoto.
Los hallazgos llegan menos de una semana después de que Symantec, propiedad de Broadcom, revelara detalles de otro ataque orquestado por el mismo grupo entre julio y agosto de 2021 dirigido a una organización ucraniana no identificada para implementar Pterodo RAT para actividades posteriores a la explotación.
