El grupo cibernético ruso Shuckworm lanza ataques continuos contra Ucrania


Descarga de malware, registro de datos y otras herramientas de espionaje dirigidas a organizaciones ucranianas.

Pirata informático anónimo que trabaja en una computadora portátil, banderas de Ucrania y Rusia
Imagen: Adobe Inventory

El grupo cibernético Shuckworm, vinculado a Rusia, continúa apuntando a organizaciones ucranianas con malware de robo de información. Según el Menace Hunter Workforce de Symantec, parte de Broadcom Software, gran parte de la actividad precise es una extensión de los ataques informados por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en julio.

Shuckworm (también conocido como Gamaredon, Armageddon) es un grupo de delitos cibernéticos de ocho años que se enfoca casi exclusivamente en Ucrania, dijo Symantec.

«Shuckworm generalmente se considera una operación de espionaje…», dijo Brigid Gorman, analista senior de inteligencia en el Menace Hunter Crew de Symantec. “El miedo a la exposición no parece disuadir a Shuckworm de continuar con sus actividades”.

La carga útil de infostealer es capaz de grabar audio usando el micrófono del sistema, tomar capturas de pantalla, registrar pulsaciones de teclas y descargar y ejecutar archivos .exe y .dll.

Vector de infección

Symantec dijo que Shuckworm usaba archivos 7-Zip autoextraíbles, que se descargaron por correo electrónico. Posteriormente, los binarios de los archivos 7-Zip descargaron mshta.exe, un archivo XML, que probablemente se hizo pasar por una aplicación HTML, del dominio a0698649.[.]xsph[.]Ru. Se ha documentado públicamente desde mayo de 2022 que los subdominios de xsph[.]ru están asociados con la actividad de Shuckworm.

Este dominio se usó en un ataque de phishing que falsificaba al Servicio de Seguridad de Ucrania con «Boletín de inteligencia» en la línea de asunto, según CERT-UA.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

Cadena de ataque

Ejecutar mshta.exe ejecutó un ladrón de PowerShell. Symantec registró tres versiones del mismo ladrón de PowerShell en un sistema.

«Es posible que los atacantes hayan implementado múltiples versiones del ladrón, todas muy similares, como un intento de evadir la detección». Symantec dijo en una publicación de weblog que detalla los ataques.

También se vieron dos descargadores de VBS con las palabras «jugo» y «justicia» en sus nombres de archivo en las máquinas de las víctimas. Estos nombres de archivo están asociados con Backdoor.Pterodo, un conocido script de Shuckworm capaz de llamar a PowerShells, cargar capturas de pantalla y también ejecutar código descargado de un servidor de comando y handle, dijo Symantec.

Shuckworm también está implementando la puerta trasera Giddome, otra conocida herramienta de espionaje. Algunas de estas variantes de Giddome pueden haberse originado a partir de archivos VCD, H264 o ASC. Al igual que los archivos .ISO, los archivos VCD son imágenes de un CD o DVD que Home windows reconoce como un disco true.

Los atacantes también aprovecharon las herramientas legítimas de protocolo de escritorio remoto Ammyy Admin y AnyDesk para el acceso remoto, una táctica común utilizada por las pandillas cibernéticas, dijo Symantec.

Para proteger su organización de Shuckworm, Gorman le dijo a:

  • Adopte una estrategia de defensa en profundidad utilizando múltiples tecnologías de detección, protección y refuerzo
  • Monitorear el uso de herramientas de doble uso dentro de la purple
  • Use la última versión de PowerShell con el registro habilitado
  • Auditar y controlar el uso de cuentas administrativas de TI
  • Use credenciales de un solo uso para administradores de TI
  • Cree perfiles de uso para los administradores de TI y sus herramientas, ya que los atacantes utilizan muchas de estas herramientas para moverse lateralmente a través de una pink.
  • Implementar la autenticación multifactor
  • Escanee sus sistemas en busca de indicadores de compromiso.



Enlace a la noticia first