Gamaredon, il gruppo utilizza un nuovo script powershell per la diffusione di una backdoor

Secondo un nuovo rapporto del team di Symantec Threat Intelligence, il gruppo nation-state di spionaggio informatico noto come Gamaredon (alias Shuckworm, Armageddon, UAC-0010) e collegato alla Russia starebbe continuando i suoi attacchi contro enti governativi e organizzazioni nel settore d’intelligence militare e di sicurezza dell’Ucraina, aggiornando i propri strumenti malware.

Gamaredon

Gamaredon in azione almeno dal 2014, al momento sarebbe uno dei gruppi APT più attivi contro l’Ucraina collaborando, secondo gli stessi funzionari ucraini, al servizio di sicurezza federale russo (FSB). Il gruppo, infatti avrebbe ripetutamente tentato di rubare informazioni sensibili riguardo al servizio militare ucraino e alle sue strategie di attacco.

Le campagne recenti

Solitamente questo attore della minaccia utilizzerebbe come vettore malware le e-mail di phishing fornendo sia l’accesso alle reti compromesse che le informazioni riservate rubate ad altre bande criminali.

In particolare le esche di phishing osservate nelle più recenti campagne di Gamaredon che risalirebbero a febbraio/marzo 2023 includerebbero argomenti relativi a conflitti armati, procedimenti penali e lotta alla criminalità.

La compromissione iniziale

Per la compromissione iniziale le e-mail di phishing conterrebbero allegati RAR, DOCX, SFX, LNK e HTA che, una volta aperti, avvierebbero un comando PowerShell per scaricare la backdoor “Pterodo” dal server C2 dell’attaccante.

Il nuovo script PowerShell viene utilizzato per prima copiarsi sulla macchina infetta e creare un file di collegamento utilizzando un’estensione rtk.lnk. Lo script utilizza nomi di file come “porn_video.rtf.lnk”, “do_not_delete.rtf.lnk”” e “evidence.rtf.lnk” nel tentativo di invogliare le persone ad aprire i file.“, si legge nel rapporto.

Una volta che la vittima avvia questi file, lo script PowerShell enumerebbe tutte le unità sul computer copiandosi su dischi USB rimovibili, aumentando la probabilità di un movimento laterale riuscito all’interno della rete violata anche nel tentativo di colpire eventuali postazioni air-gapped delle organizzazioni target.

Attività in evoluzione

La nuova campagna di Gamaredon, secondo Symantec, coinvolgendo principalmente i dipartimenti delle risorse umane, indicherebbe che gli attori delle minacce mirano ad attacchi di spear-phishing all’interno delle organizzazioni violate.

Inoltre per i ricercatori è ragionevole pensare che Gamaredon possa continuare ad aggiornare i propri strumenti e tattiche di attacco per carpire informazioni utili nelle operazioni militari della Russia.

Questa attività dimostra che l’attenzione incessante di Shuckworm sull’Ucraina continua. Sembra chiaro che i gruppi di attacco sostenuti dallo stato-nazione russo continuino a dare la priorità a obiettivi ucraini di alto valore nel tentativo di trovare dati che potrebbero potenzialmente aiutare le loro operazioni militari”.

Su Salvatore Lombardo 359 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.