Gusano vagabundo
Se ha detectado que agentes de ciberespionaje vinculados al Servicio Federal de Seguridad (FSB) de Rusia emplean un gusano que se propaga por USB llamado LitterDrifter en ataques dirigidos a entidades ucranianas.
La entidad que orquesta esta ofensiva se identifica como Gamaredon , también conocida por alias como Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm y Winterflounder. Las estrategias recientes empleadas por estos piratas informáticos caracterizan al grupo por realizar campañas extensas, seguidas de esfuerzos meticulosos de recopilación de datos dirigidos a objetivos específicos. Se presume que la selección de estos objetivos está impulsada por objetivos de espionaje.
Tabla de contenido
LitterDrifter se ha extendido más allá de sus objetivos iniciales
El gusano LitterDrifter cuenta con dos funcionalidades principales: difunde automáticamente el malware a través de unidades USB conectadas y establece comunicación con los servidores de comando y control (C2, C&C) del actor de la amenaza. Hay sospechas de que representa un avance de un gusano USB basado en PowerShell previamente revelado, que los investigadores dieron a conocer en junio de 2023.
Elaborado en VBS, el módulo esparcidor asume la responsabilidad de distribuir el gusano discretamente dentro de una unidad USB, acompañado de un señuelo LNK con nombres asignados aleatoriamente. La nomenclatura "LitterDrifter" se deriva del componente de orquestación inicial denominado 'trash.dll'.
Gamaredon adopta un enfoque distintivo para C&C, utilizando dominios como marcadores de posición para las direcciones IP reales empleadas como servidores C2.
Además, LitterDrifter muestra la capacidad de conectarse a un servidor C&C extraído de un canal de Telegram, una táctica empleada constantemente por el actor de amenazas desde principios de 2023. Los expertos en ciberseguridad han identificado posibles signos de infección más allá de Ucrania, con detecciones que indican actividad en EE. UU. y Vietnam. , Chile, Polonia, Alemania y Hong Kong.
Gamaredon está evolucionando sus técnicas de ataque
A lo largo del año en curso, Gamaredon ha mantenido una presencia activa, adaptando constantemente sus estrategias de ataque. En julio de 2023, la rápida destreza de exfiltración de datos del adversario se hizo evidente, ya que el actor de la amenaza logró transmitir información confidencial tan solo una hora después del compromiso inicial.
Es evidente que LitterDrifter fue diseñado específicamente para facilitar una operación de recolección extensa. Al emplear técnicas sencillas pero eficientes, el malware garantiza que pueda alcanzar un amplio espectro de objetivos en la región.
Los actores de amenazas muestran una mayor actividad desde el inicio de la guerra entre Rusia y Ucrania
Los acontecimientos que se desarrollan coinciden con la revelación por parte del Centro Nacional de Coordinación de Ciberseguridad de Ucrania (NCSCC) de incidentes de piratas informáticos rusos patrocinados por el Estado que orquestaron ataques a embajadas en toda Europa, incluidas Italia, Grecia, Rumania y Azerbaiyán.
Atribuidas a APT29 (también conocida como Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard y más), estas intrusiones explotan la vulnerabilidad WinRAR recientemente revelada (CVE-2023-38831) a través de señuelos engañosos, como afirmaciones de BMW en venta, un tema previamente empleado por el actor de la amenaza.
La secuencia de ataque comienza con la distribución de correos electrónicos de phishing a las víctimas que contienen un enlace a un archivo ZIP especialmente diseñado. Al iniciarse, la falla se aprovecha para recuperar un script de PowerShell desde un servidor remoto alojado en Ngrok. La explotación recurrente de la vulnerabilidad CVE-2023-38831 por parte de grupos de hackers de los servicios de inteligencia rusos subraya su creciente popularidad y sofisticación.
Además, CERT-UA (el Equipo de Respuesta a Emergencias Informáticas de Ucrania) ha revelado información sobre una campaña de phishing que difunde archivos RAR inseguros. Estos archivos pretenden contener un documento PDF del Servicio de Seguridad de Ucrania (SBU). Sin embargo, en realidad albergan un ejecutable que conduce al despliegue de Remcos RAT .
