CERT Ucraniano Comparte Información Sobre Las Tácticas De Exfiltración Rápida Empleadas Por Gamaredon
Gamaredon, el grupo de cibercriminales respaldado por el estado ruso, ha captado la atención recientemente debido a la velocidad con la que ejecutan sus ataques, logrando extraer datos en menos de una hora después de comprometer un sistema.
También conocido como Aqua Blizzard, Armageddon, Shuckworm o UAC-0010, Gamaredon, se estima que este grupo ha infectado miles de sistemas gubernamentales. Se sabe además que este grupo está estrechamente vinculado a la oficina principal del SBU en la República Autónoma de Crimea, la cual fue anexada por Rusia en 2014.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha llevado a cabo un análisis exhaustivo de las tácticas y técnicas empleadas por este grupo criminal y ha compartido su información para ayudar a los defensores a detectar y prevenir intentos de infiltración en sus redes. Según el CERT-UA, Gamaredon utiliza principalmente correos electrónicos y mensajes en aplicaciones de mensajería como Telegram, WhatsApp y Signal para comprometer a sus objetivos.
Los mensajes enviados por Gamaredon a menudo contienen archivos adjuntos que se hacen pasar por documentos de Microsoft Office, pero en realidad son archivos como HTM, HTA
o LNK
. Al abrir estos archivos adjuntos, se desencadena una secuencia de ataques que descarga y ejecuta scripts de PowerShell y malware, como GammaSteel, en el dispositivo de la víctima. Este malware tiene la capacidad de filtrar archivos que coinciden con una lista específica de extensiones, tales como .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z y .mdb
. De esta forma, en un período de 30 a 50 minutos, pueden extraer los archivos de interés.
Otra característica destacada de Gamaredon es su constante evolución de tácticas. Además de utilizar correos electrónicos y mensajes, también se ha observado que el grupo emplea técnicas de infección USB para propagarse. Y es que, si un host infectado permanece comprometido durante una semana, podría terminar con entre 80 y 120 archivos maliciosos. Además, utilizan herramientas como AnyDesk para acceder de forma remota a los sistemas comprometidos, y scripts de PowerShell para secuestrar sesiones y aplicaciones como Telegram y Telegraph, con el fin de obtener información de un servidor de comando y control (C2).
Los expertos de CERT-UA advierten que los atacantes de Gamaredon toman medidas para garantizar su resistencia y evitar la detección en las redes. Cambian las direcciones IP de los nodos de control intermedios varias veces al día, dificultando los esfuerzos de bloqueo y rastreo por parte de los defensores. Además, incrustan numerosos archivos maliciosos en los sistemas comprometidos, aumentando así la probabilidad de reinfección.
En este momento, CERT-UA recomienda bloquear o restringir la ejecución no autorizada de los archivos mshta.exe
, wscript.exe
, cscript.exe
y powershell.exe
para limitar la efectividad de los ataques de Gamaredon.
Es fundamental que las organizaciones y los usuarios tomen medidas para protegerse contra los ataques de Gamaredon y otros actores de amenazas similares. Esto incluye tener precaución al abrir archivos adjuntos o hacer clic en enlaces sospechosos, mantener los sistemas y aplicaciones actualizados con los últimos parches de seguridad, implementar soluciones de seguridad sólidas y fomentar una cultura de conciencia y capacitación en ciberseguridad en todos los niveles.
Más información:
Via: unaaldia.hispasec.com