El grupo de piratería informática, patrocinado por el Estado ruso, conocido como Gamaredón, ha estado atacando a varios diplomáticos ucranianos, funcionarios del gobierno y militares y fuerzas de seguridad, desde mediados de octubre de 2019, de acuerdo a lo informado por la compañía de inteligencia de amenazas, Anomali.
Activo desde al menos mediados de 2013 y también conocido como Oso Primitivo, el grupo de Gamaredón fue analizado por primera vez en abril de 2015. En los últimos años, se ha observado que ha participado en varios ataques contra personas involucradas con el gobierno ucraniano.
A mediados de octubre, los delincuentes iniciaron una campaña contra varios individuos y entidades en Ucrania, incluyendo diplomáticos, funcionarios y empleados del gobierno, periodistas, fuerzas del orden, funcionarios y personal militar, ONG y el Ministerio de Asuntos Exteriores del país.
En esta campaña se utilizaron documentos con armas como vector inicial de infección, probablemente a través de la suplantación de identidad (phishing) por medio de lanzas. El análisis de estos documentos reveló que la actividad maliciosa comenzó en septiembre y continuó hasta el 25 de noviembre, según explican los investigadores de seguridad de Anomali en un informe (PDF).
Los investigadores recuperaron tres documentos de atracción: uno dirigido al Sistema de Control de Dnipro y discutiendo asuntos militares, otro producido por la ONG Detector Media, y un tercero dirigido al Ministerio de Asuntos Exteriores de Ucrania.
El documento inicial se conecta a un servidor remoto para descargar una plantilla de documento (.dot) que contiene macros VBA. El.dot se ejecuta en segundo plano, mientras que la macro VBA escribe un archivo VBScript en la carpeta de inicio.
Al reiniciar, el VBScript realiza una petición HTTP GET para obtener una etapa encriptada de un dominio DNS dinámico. La carga útil, sin embargo, sólo se envía si el objetivo se considera de interés.
Si se entrega, el archivo de segunda etapa parece ser un ejecutable que se almacena directamente en la carpeta de inicio, para asegurar que se ejecuta al reiniciar el sistema. Los investigadores de Anomali, sin embargo, no observaron que una carga útil fuera entregada desde el servidor.
La campaña maliciosa parece estar en curso, con los objetivos previstos y las Tácticas, Técnicas y Procedimientos (TTPs) en línea con la actividad previa asociada con el grupo ruso de hacking Gamaredon.
“Las capacidades cibernéticas patrocinadas por Rusia han sido bien documentadas a través de numerosas campañas maliciosas encontradas y atribuidas por la comunidad de seguridad, y esta actividad […] indica el riesgo que representan para las entidades los grupos de amenazas de la APT. Los gobiernos de todo el mundo utilizan las campañas con fines estratégicos, y en el caso de Rusia, a veces para que coincidan con la actividad de las fuerzas armadas”, concluye Anomali.
Con información de: Security Affairs.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian