Detección de Ataques del Grupo de Espionaje Shuckworm: Actores de Amenazas Respaldados por Rusia Atacan Repetidamente a Organizaciones Militares, de Seguridad y Gubernamentales de Ucrania

Desde la invasión a gran escala de Ucrania por parte de Rusia, las fuerzas ofensivas del agresor han lanzado una avalancha de campañas de ciberespionaje contra Ucrania y sus aliados, apuntando principalmente a agencias gubernamentales y frecuentemente aprovechando el vector de ataque de phishing. El infame colectivo de hackers llamado Shuckworm (Armageddon, Gamaredon), conocido por sus vínculos con el FSB de Rusia, ha sido observado detrás de una serie de ataques contra organismos estatales ucranianos desde al menos 2014, lanzando principalmente operaciones de ciberinteligencia dirigidas a la recopilación de inteligencia. Investigadores en ciberseguridad han notado recientemente un aumento en la actividad maliciosa del grupo, con organizaciones de servicios de seguridad, militares y agencias gubernamentales siendo los objetivos principales actuales.

Detectar las campañas de espionaje de Shuckworm

Las campañas de ciberespionaje persistentes y enfocadas atribuidas al infame colectivo de hackers rusos conocido como Shuckworm capturan la atención de los defensores cibernéticos debido a la grave amenaza que representan para múltiples organizaciones ucranianas, principalmente en el sector público. El grupo está experimentando con intrusiones prolongadas y desarrollando constantemente su kit de herramientas de adversarios, lo que exige una vigilancia constante de la comunidad mundial de defensores cibernéticos para estar preparados para responder oportunamente a las crecientes amenazas de las operaciones de ciberespionaje de los agresores. La plataforma de SOC Prime para la defensa cibernética colectiva cura un conjunto dedicado de reglas Sigma para ayudar a las organizaciones a defenderse proactivamente contra los ataques de Shuckworm.

Todas las reglas Sigma están filtradas por la etiqueta personalizada correspondiente “Shuckworm” para simplificar la búsqueda de contenido. Haga clic en el botón Explorar detecciones a continuación para profundizar en toda la colección de reglas de detección relevantes y consultas de búsqueda mapeadas al marco de trabajo MITRE ATT&CK® y automáticamente convertibles a las soluciones líderes de la industria SIEM, EDR y XDR. Para una investigación de amenazas optimizada, explore enlaces ATT&CK, CTI, binarios ejecutables vinculados a reglas Sigma y más metadatos relevantes.

Explorar detecciones

Actividad de Shuckworm: Analizando los Últimos Ataques

Emergió por primera vez en 2013, Shuckworm (también conocido como Gamaredon, Armageddon, Trident Ursa) es un actor experimentado en el ámbito malicioso. El colectivo de hackers actúa como una parte integral del Servicio de Seguridad Federal de la Federación Rusa destinado a realizar inteligencia cibernética dirigida y actividades subversivas contra Ucrania y sus aliados. CERT-UA mantiene una estrecha vigilancia sobre las operaciones ofensivas del grupo Shuckworm seguido por los investigadores de CERT-UA bajo el identificador UAC-0010. Durante 2022-2023, Shuckworm se mantuvo como uno de los APT más intrusivos y enfocados que atacan entidades ucranianas en la línea del frente cibernético, además de intentar desestabilizar instalaciones de infraestructura crítica en los países de la OTAN. 

Típicamente, el grupo Shuckworm se basa en campañas de spear-phishing para continuar con actividades de ciberespionaje. Los actores de amenazas aplican herramientas simples escritas en VBScript, VBA Script, C#, C++, y otros lenguajes de programación, aprovechando principalmente software de código abierto en los primeros días de su actividad mientras gradualmente tienden a enriquecer su kit de herramientas con una serie de herramientas de ciberespionaje personalizadas, incluyendo Pterodo/Pteranodon, EvilGnome y múltiples robadores de información como GammaLoad, GammaSteal, y Giddome.

Desde el estallido de la guerra a gran escala en Ucrania, Shuckworm ha intensificado significativamente sus actividades maliciosas, con el último aumento observado en febrero-marzo de 2023. Además de los volúmenes incrementados de ataques, los adversarios de Shuckworm tienden a enriquecer su conjunto de herramientas maliciosas. La investigación de Symantec detalla que el actor de APT cambia de robadores de información, secuestradores de plantillas predeterminadas de Word, y diferentes variantes del backdoor Pteranodon a un nuevo malware USB que ayuda a los hackers a propagarse a través de la red, infectando un alcance más amplio de instancias.

Vale la pena señalar que durante su última campaña, los hackers de Shuckworm concentraron específicamente su atención en los departamentos de recursos humanos del gobierno ucraniano, militar, de seguridad y de investigación en un intento por obtener información sensible sobre individuos relacionados con esas entidades.

Las intrusiones dentro de la última campaña típicamente comienzan con el correo electrónico de phishing que lleva un archivo malicioso adjunto. En caso de ser abierto, activa un comando de PowerShell que, a su vez, descarga la carga útil de Pterodo desde el servidor del atacante. Además, el script de PowerShell enumera todos los discos en el dispositivo y se copia a una unidad USB extraíble aumentando las posibilidades de propagación encubierta y movimiento lateral exitoso a través del entorno comprometido.

Los expertos en seguridad señalan que Shuckworm sigue muy centrado en Ucrania y sus aliados, avanzando continuamente su conjunto de herramientas maliciosas para realizar operaciones de ciberespionaje y destructivas. Al cooperar directamente con CERT-UA y SSSCIP, el equipo de SOC Prime investiga, desarrolla, y prueba las reglas Sigma en el campo de batalla real, agregando algoritmos de detección relevantes y fomentando la colaboración global a través de la Plataforma de SOC Prime.

Confíe en SOC Prime para estar completamente equipado con contenido de detección contra cualquier TTP utilizado por grupos APT en sus ataques. Acceda a la fuente más rápida del mundo de noticias de seguridad, inteligencia de amenazas personalizada, y el repositorio más grande de 10,000+ reglas Sigma curadas continuamente enriquecidas con nuevas ideas de detección. Desbloquee el poder de la inteligencia aumentada y la experiencia colectiva de la industria para equipar a cualquier miembro del equipo de seguridad con una herramienta definitiva para la ingeniería de detección avanzada. Identifique puntos ciegos y abórdelos a tiempo para asegurar una visibilidad completa de las amenazas basada en los registros específicos de la organización sin mover los datos a la nube. Regístrese en Plataforma SOC Prime ahora y empodere a su equipo de seguridad con las mejores herramientas para un mañana seguro.