Detección de Ataques de Gamaredon: Operaciones de Ciberespionaje Contra Ucrania por el APT Vinculado a Rusia
Tabla de contenidos:
El estado nefasto patrocinado por Rusia alineado Gamaredon (también conocido como Hive0051, UAC-0010, o Armageddon APT) ha estado lanzando una serie de campañas de ciberespionaje contra Ucrania desde 2014, con ciberataques intensificados desde la invasión a gran escala de Rusia a Ucrania el 24 de febrero de 2022.
ESET publicó recientemente un análisis técnico exhaustivo, proporcionando información sobre las operaciones de ciberespionaje de Gamaredon contra Ucrania durante 2022 y 2023. A pesar del conflicto en escalada desde 2022, la actividad de Gamaredon ha permanecido constante, con el grupo desplegando consistentemente sus herramientas maliciosas y permaneciendo como el colectivo de hacking más activo en el panorama de amenazas cibernéticas ucranianas.
Detectar Ataques del APT Gamaredon
Notorios grupos de hacking afiliados a Rusia continúan presentando desafíos significativos a los defensores de ciberseguridad, evolucionando constantemente sus tácticas, técnicas y procedimientos (TTPs) para mejorar la evasión de detección. Desde el inicio de la guerra a gran escala en Ucrania, estos grupos APT han intensificado sus actividades, utilizando el conflicto como un campo de pruebas para estrategias maliciosas innovadoras. Estos métodos recientemente refinados se despliegan luego contra objetivos globales de alta prioridad alineados con los intereses estratégicos de Moscú, amplificando la amenaza cibernética a escala mundial. Esta actividad implacable obliga a los profesionales de la seguridad a buscar contenido de detección confiable y herramientas avanzadas de detección y caza de amenazas para mantenerse por delante de los adversarios en evolución.
Para detectar ataques del APT Gamaredon respaldado por Rusia en las etapas más tempranas, los profesionales de seguridad podrían confiar en SOC Prime Platform para defensa cibernética colectiva, proporcionando un conjunto de reglas Sigma dedicado emparejado con un conjunto completo de productos para detección avanzada de amenazas, caza de amenazas automatizada e ingeniería de detección impulsada por IA. Solo presiona el botón Explorar Detecciones a continuación para profundizar de inmediato en un conjunto de detección curada disponible en la SOC Prime Platform.
Las reglas son compatibles con más de 30 soluciones SIEM, EDR y Data Lake y están mapeadas al marco de trabajo MITRE ATT&CK®. Además, las detecciones están enriquecidas con metadatos extensos, incluyendo inteligencia de amenazas referencias, cronogramas de ataques y recomendaciones de triaje, ayudando a facilitar la investigación de amenazas.
Los defensores cibernéticos que busquen más contenido de detección que aborde los TTPs de Gamaredon para analizar retrospectivamente la actividad del grupo podrían navegar en Threat Detection Marketplace utilizando las siguientes etiquetas: “UAC-0010,” “Gamaredon,” “Hive0051,” “ACTINIUM,” “Primitive Bear,” “Armageddon Group,” “Aqua Blizzard,” “WINTERFLOUNDER,” “UNC530,” “Shuckworm.”
Análisis de Ataques APT de Gamaredon: Según la Última Investigación de ESET
El grupo de ciberespionaje respaldado por Rusia rastreado como Gamaredon, también conocido como Armageddon APT (Hive0051 o UAC-0010), ha estado lanzando activamente ataques de alto perfil contra Ucrania desde el estallido de la guerra cibernética global. En 2022, Gamaredon estuvo detrás de una serie de campañas de phishing contra Ucrania, utilizando varias versiones de GammaLoad, incluido GammaLoad.PS1, que fue entregado a través de VBScript malicioso y una versión actualizada identificada como GammaLoad.PS1_v2.
En la última investigación de ESET y un documento técnicomás detallado, los defensores exploran las técnicas de ofuscación en evolución de Gamaredon y métodos para evadir el bloqueo basado en dominios, lo cual complica los esfuerzos de seguimiento y detección, junto con las herramientas más comunes utilizadas por el colectivo de hacking para atacar a Ucrania.
The El Servicio de Seguridad de Ucrania (SSU) ha vinculado a Gamaredon con el Servicio Federal de Seguridad de Rusia, con base en Crimea ocupada. Según ESET, el grupo APT respaldado por Rusia tiene vínculos con otro colectivo de hacking rastreado como InvisiMole.
La telemetría de ESET, CERT-UA y otras autoridades ucranianas muestran que la mayoría de los ataques de Gamaredon se dirigen a agencias gubernamentales ucranianas. Sin embargo, el grupo también cambió su enfoque más allá de Ucrania. Por ejemplo, a finales de septiembre de 2022, los actores de amenazas hicieron intentos de infiltrarse en una importante compañía de refinamiento de petróleo en un país miembro de la OTAN, escalando las tensiones en el frente cibernético.
Gamaredon utiliza campañas de spearphishing para infectar nuevas víctimas, aprovechando su malware personalizado para armar documentos de Word y unidades USB accesibles a la víctima inicial, que probablemente se compartan con otros. A diferencia de la mayoría de los grupos APT, Gamaredon no prioriza la discreción durante sus operaciones de ciberespionaje. Los adversarios operan imprudentemente, sin embargo, ponen un esfuerzo significativo en evadir productos de seguridad y mantener acceso a sistemas comprometidos.
Para retener el acceso, Gamaredon a menudo despliega múltiples descargadores simples o puertas traseras a la vez. A pesar de la falta de sofisticación de sus herramientas, las actualizaciones frecuentes y los cambios regulares en la ofuscación les ayudan a pasar desapercibidos.
El conjunto de herramientas ofensivas de Gamaredon ha evolucionado significativamente. En 2022, el grupo pasó de usar archivos SFX a depender de VBScript y PowerShell. Para 2023, habían mejorado sus capacidades de ciberespionaje, desarrollando nuevas herramientas de PowerShell diseñadas para robar datos sensibles de aplicaciones web, clientes de correo electrónico y aplicaciones de mensajería como Signal y Telegram.
A finales del verano de 2023, los investigadores de ESET descubrieron PteroBleed, un ladrón de información que atacaba un sistema militar ucraniano y un servicio de correo web utilizado por un organismo estatal ucraniano. Las herramientas de Gamaredon, categorizadas en descargadores, dropper, armadores, ladrones, puertas traseras y utilidades especializadas, se utilizan para entregar cargas útiles, modificar archivos, exfiltrar datos y mantener acceso remoto.
Gamaredon emplea comúnmente DNS de flujo rápido para cambiar con frecuencia las direcciones IP de sus servidores C2 y eludir el bloqueo basado en IP. El grupo también registra y actualiza regularmente numerosos nuevos dominios C2, usando principalmente el TLD .ru, para evadir el bloqueo basado en dominios.
Los adversarios eluden más aún las detecciones basadas en redes al utilizar servicios de terceros como Telegram, Cloudflare y ngrok. A pesar de la relativa simplicidad de sus herramientas, las tácticas agresivas y persistentes del grupo representan una amenaza significativa para las potenciales víctimas, lo que requiere una ultra-respuesta de los defensores. Aprovecha el conjunto completo de productos de SOC Prime para la ingeniería de detección impulsada por IA, caza de amenazas automatizada y detección avanzada de amenazas para anticipar ciberataques de cualquier sofisticación y asegurar la postura de seguridad de la organización en el futuro.
