
Secondo un nuovo rapporto del team di Symantec Threat Intelligence, il gruppo nation-state di spionaggio informatico noto come Gamaredon (alias Shuckworm, Armageddon, UAC-0010) e collegato alla Russia starebbe continuando i suoi attacchi contro enti governativi e organizzazioni nel settore d’intelligence militare e di sicurezza dell’Ucraina, aggiornando i propri strumenti malware.
Gamaredon
Gamaredon in azione almeno dal 2014, al momento sarebbe uno dei gruppi APT più attivi contro l’Ucraina collaborando, secondo gli stessi funzionari ucraini, al servizio di sicurezza federale russo (FSB). Il gruppo, infatti avrebbe ripetutamente tentato di rubare informazioni sensibili riguardo al servizio militare ucraino e alle sue strategie di attacco.
Le campagne recenti
Solitamente questo attore della minaccia utilizzerebbe come vettore malware le e-mail di phishing fornendo sia l’accesso alle reti compromesse che le informazioni riservate rubate ad altre bande criminali.
In particolare le esche di phishing osservate nelle più recenti campagne di Gamaredon che risalirebbero a febbraio/marzo 2023 includerebbero argomenti relativi a conflitti armati, procedimenti penali e lotta alla criminalità.
La compromissione iniziale
Per la compromissione iniziale le e-mail di phishing conterrebbero allegati RAR, DOCX, SFX, LNK e HTA che, una volta aperti, avvierebbero un comando PowerShell per scaricare la backdoor “Pterodo” dal server C2 dell’attaccante.
“Il nuovo script PowerShell viene utilizzato per prima copiarsi sulla macchina infetta e creare un file di collegamento utilizzando un’estensione rtk.lnk. Lo script utilizza nomi di file come “porn_video.rtf.lnk”, “do_not_delete.rtf.lnk”” e “evidence.rtf.lnk” nel tentativo di invogliare le persone ad aprire i file.“, si legge nel rapporto.
Una volta che la vittima avvia questi file, lo script PowerShell enumerebbe tutte le unità sul computer copiandosi su dischi USB rimovibili, aumentando la probabilità di un movimento laterale riuscito all’interno della rete violata anche nel tentativo di colpire eventuali postazioni air-gapped delle organizzazioni target.
Attività in evoluzione
La nuova campagna di Gamaredon, secondo Symantec, coinvolgendo principalmente i dipartimenti delle risorse umane, indicherebbe che gli attori delle minacce mirano ad attacchi di spear-phishing all’interno delle organizzazioni violate.
Inoltre per i ricercatori è ragionevole pensare che Gamaredon possa continuare ad aggiornare i propri strumenti e tattiche di attacco per carpire informazioni utili nelle operazioni militari della Russia.
“Questa attività dimostra che l’attenzione incessante di Shuckworm sull’Ucraina continua. Sembra chiaro che i gruppi di attacco sostenuti dallo stato-nazione russo continuino a dare la priorità a obiettivi ucraini di alto valore nel tentativo di trovare dati che potrebbero potenzialmente aiutare le loro operazioni militari”.