Diario Informe

Los piratas informáticos rusos 'Gamaredon' utilizan 8 nuevas cargas útiles de malware en los ataques

Los piratas informáticos vinculados a Rusia conocidos como 'Gamaredon' (también conocido como Armageddon o Shuckworm) fueron vistos desplegando ocho binarios personalizados en operaciones de ciberespionaje contra entidades ucranianas.

Se cree que este grupo de hackers es operado directamente por el FSB (Servicio Federal de Seguridad) ruso y ha sido responsable de miles de ataques en Ucrania desde 2013.

Los investigadores del equipo Threat Hunter de Symantec, parte de Broadcom Software, analizaron ocho muestras de malware utilizadas por Gamaredon contra objetivos ucranianos en ataques recientes, lo que podría proporcionar información esencial para que los defensores se protejan contra la ola de ataques en curso.

Archivos utilizados en ataques recientes de Gamaredon

Según el informe de Symantec, los ataques monitoreados comenzaron en julio con la difusión de correos electrónicos de phishing selectivo que contenían documentos de Word con macros.

Estos archivos iniciaron un archivo VBS que eliminó "Pteranodon", una puerta trasera bien documentada que Gamaredon ha estado desarrollando y mejorando durante casi siete años.

Sin embargo, aunque los ataques recientes aún se realizan mediante correos electrónicos de phishing, estos ataques ahora arrojan ocho cargas útiles diferentes, como se describe a continuación.

Los ocho archivos muestreados por los analistas de Symantec de ataques recientes de Gamaredon son binarios autoextraíbles de 7 zip que minimizan los requisitos de interacción del usuario.

  • descend.exe - Se ejecuta para colocar un archivo VBS en "% USERPROFILE% Downloads deerbrook.ppt" y "% PUBLIC% Pictures deerbrook.ppt", y crea una tarea programada en el sistema comprometido. El VBS contacta al C2 y obtiene la carga útil.
  • deep-sunken.exe - La carga útil descargada que se ejecuta para colocar cuatro archivos más en la computadora comprometida: baby.cmd, baby.dat, basement.exe (wget binary), vb_baby.vbs. Se crea una nueva tarea programada y se vuelve a contactar con el C2 para la siguiente carga útil.
  • z4z05jn4.egf.exe - La carga útil de la siguiente etapa, que es similar a la anterior pero presenta un C2 diferente, coloca archivos en carpetas diferentes y usa nombres de archivo diferentes.
  • desafiante.exe - Se ejecuta para colocar archivos VBS en "% TEMP% \ deep-versed.nls" y "% PUBLIC Pictures deep-versed.nls", y luego crea una tarea programada para su ejecución.
  • deep-green.exe - Herramienta de administración remota UltraVNC que se conecta a un repetidor.
  • deep-green.exe - Binario Process Explorer para Microsoft Windows.
  • deep-green.exe - Igual que defiant.exe pero con diferentes C2 codificados y nombres de archivo.
  • deep-green.exe - Suelta VBS en "% PUBLIC% Music " y crea una tarea programada que busca unidades extraíbles en el sistema infectado.

Otros indicadores de compromiso incluyen las URL C2 y las IP asignadas por AS9123 TimeWeb Ltd., y todas usan una estructura de URI única, como se muestra a continuación:

  • http + IP + /.php?=, O
  • http + IP + /.php?=,-

Además, los directorios más comunes que albergan archivos maliciosos son:

  • perfil_csidl enlaces
  • csidl_profile búsquedas
  • CSIDL_PROFILEappdatalocaltemp
  • PERFIL_CSIDL

El informe de Symantec también concluye que muchos de los archivos eliminados tienen hashes de procesos principales desconocidos que no se analizaron, por lo que partes de la operación de Gamaredon siguen sin estar claras.

Los hashes de archivo para las nuevas cargas útiles de malware descubiertas por Symantec se pueden encontrar en su informe.

Descubre más contenido

Subir Change privacy settings