Cibergrupo Shuckworm continúa atacando organizaciones ucranianas con malware de robo de información

El grupo de ciberdelincuentes Shuckworm, vinculado a Rusia, continúa atacando a organizaciones ucranianas con malware para robo de información. Según el equipo de investigación de amenazas de Symantec, una parte de Broadcom Software, gran parte de la actividad actual es una extensión de los ataques que fueron reportados por el Equipo de Respuesta a Emergencias Cibernéticas de Ucrania (CERT-UA) en julio.

Cibergrupo Shuckworm continúa atacando organizaciones ucranianas con malware de robo de información - Seguridad | Imagen 1 Newsmatic

Shuckworm (también conocido como Gamaredon y Armageddon) es un grupo de ciberdelincuentes con ocho años de antigüedad que se enfoca casi exclusivamente en Ucrania, según Symantec.

"Shuckworm generalmente se considera una operación de espionaje...", dijo Brigid O'Gorman, analista senior de inteligencia en el equipo de investigación de amenazas de Symantec. "El temor a ser descubiertos no parece disuadir a Shuckworm de continuar con sus actividades".

El payload del malware es capaz de grabar audio utilizando el micrófono del sistema, capturar capturas de pantalla, registrar pulsaciones de teclado y descargar y ejecutar archivos .exe y .dll.

Índice de Contenido
  1. Vector de Infección
  2. Cadena de Ataque

Vector de Infección

Symantec afirmó que Shuckworm utiliza archivos autoextraíbles en formato 7-Zip, que se descargan a través del correo electrónico. Los binarios dentro de los archivos 7-Zip descargaban posteriormente mshta.exe, un archivo XML que probablemente se hacía pasar por una aplicación HTML, desde el dominio a0698649[.]xsph[.]ru. Desde mayo de 2022 se ha documentado públicamente que los subdominios de xsph[.]ru están asociados con la actividad de Shuckworm.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Según CERT-UA, este dominio fue utilizado en un ataque de phishing en el que se suplantaba al Servicio de Seguridad de Ucrania con un supuesto "Boletín de Inteligencia" en la línea de asunto.

Cadena de Ataque

La ejecución de mshta.exe activó un ladrón de contraseñas en PowerShell. Symantec registró tres versiones del mismo ladrón de contraseñas en un sistema.

"Es posible que los atacantes hayan desplegado múltiples versiones del ladrón de contraseñas, las cuales eran muy similares, como un intento de evadir la detección", afirmó Symantec en una publicación detallando los ataques.

También se observaron dos descargadores en VBS con las palabras "juice" y "justice" en sus nombres de archivo en las máquinas de las víctimas. Estos nombres de archivo están asociados con Backdoor.Pterodo, un conocido script de Shuckworm capaz de llamar a PowerShells, subir capturas de pantalla y ejecutar código descargado desde un servidor de control, según Symantec.

Shuckworm también está desplegando la puerta trasera Giddome, otra herramienta de espionaje de renombre. Algunas de estas variantes de Giddome pueden haberse originado a partir de archivos VCD, H264 o ASC. Al igual que los archivos .ISO, los archivos VCD son imágenes de un CD o DVD reconocidas por Windows como un disco real.

Los atacantes también aprovecharon las herramientas legítimas de protocolo de escritorio remoto Ammyy Admin y AnyDesk para acceder remotamente, una táctica común utilizada por las pandillas cibernéticas, según Symantec.

Cómo proteger tu computadora de los virus: métodos y consejos

Para proteger a su organización de Shuckworm, Gorman recomendó:

  • Adoptar una estrategia de defensa en profundidad utilizando múltiples tecnologías de detección, protección y endurecimiento
  • Monitorear el uso de herramientas de doble uso dentro de la red
  • Utilizar la última versión de PowerShell con el registro habilitado
  • Auditar y controlar el uso de cuentas administrativas de TI
  • Utilizar credenciales de un solo uso para los administradores de TI
  • Crear perfiles de uso para los administradores de TI y sus herramientas, ya que muchas de estas herramientas son utilizadas por los atacantes para moverse lateralmente a través de una red
  • Implementar la autenticación de múltiples factores
  • Escanear los sistemas en busca de indicadores de compromiso

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cibergrupo Shuckworm continúa atacando organizaciones ucranianas con malware de robo de información , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.