Detección de Ataques de Trident Ursa, también conocido como Gamaredon APT: Hackers Respaldados por Rusia Escalan Actividad Ofensiva al Atacar una Refinería de Petróleo en un País de la OTAN

Desde la invasión a gran escala de Rusia a Ucrania en febrero de 2022, el infame grupo de hackers afiliado a Rusia Trident Ursa, también rastreado como Armageddon APT aka Gamaredon o UAC-0010 ha estado lanzando sus operaciones ofensivas dirigidas a Ucrania y sus aliados. Durante más de diez meses, el colectivo de hackers ha realizado una serie de ciberataques de phishing cubiertos en las correspondientes alertas de CERT-UA y está escalando continuamente su actividad maliciosa.

Los investigadores de ciberseguridad mantienen una estrecha vigilancia sobre las operaciones ofensivas del grupo UAC-0010, que sigue siendo uno de los APT más intrusivos y enfocados atacando a Ucrania y sus aliados en la línea del frente cibernético. Con Trident Ursa intentando apuntar a una gran empresa de refinación de petróleo en un país de la OTAN, los defensores cibernéticos necesitan estar armados con capacidades defensivas proactivas para identificar a tiempo la intrusión.

Detectar actividad adversaria de Trident Ursa (UAC-0010)

La actividad maliciosa del grupo de ciberespionaje respaldado por Rusia, conocido principalmente como Armageddon APT, Gamaredon o Trident Ursa, está actualmente en aumento en el panorama de amenazas cibernéticas. La plataforma Detection as Code de SOC Prime está diseñada para ayudar a los defensores de todo el mundo a contrarrestar proactivamente los ataques y ayudar a toda la comunidad a obtener una ventaja competitiva en la guerra cibernética en curso. SOC Prime lucha en la línea del frente cibernético de la guerra ayudando a Ucrania y sus aliados a proteger el país de la agresión rusa mientras mejora las capacidades defensivas con las tecnologías Sigma y MITRE ATT&CK.® technologies. 

Para ayudar a las organizaciones a identificar a tiempo la actividad ofensiva de Trident Ursa, la plataforma SOC Prime ha lanzado un conjunto de reglas Sigma dedicadas desarrolladas por nuestros contribuyentes de contenido Threat Bounty, Wirapong Petshagun and Kaan Yeniyol. Siga el enlace a continuación para acceder inmediatamente a estos algoritmos mapeados al último marco MITRE ATT&CK v12 y profundice en su contexto de amenazas cibernéticas:

Reglas Sigma para detectar la última actividad maliciosa de Trident Ursa

La regla Sigma de Wirapong Petshagun aborda la táctica de Comando y Control con Protocolo de Capa de Aplicación (T1071) utilizada como su técnica principal, mientras que el algoritmo de detección creado por Kaan Yeniyol aborda la táctica de ejecución y la correspondiente técnica Tarea/Job Programada (T1053).

La plataforma SOC Prime también recopila otra regla Sigma para detectar las últimas campañas maliciosas de Gamaredon APT, también conocido como UAC-0010. Esta detección escrita por nuestro prolífico desarrollador de Threat Bounty, Kyaw Pyiyt Htet (Mik0yan) aborda las tácticas de Persistencia y Evasión de Defensa representadas por las correspondientes técnicas de Ejecución de Autoinicio de Arranque o Inicio de Sesión (T1547) y Modificar Registro (T1112) ATT&CK.

Todas las reglas Sigma anteriores se pueden aprovechar en más de 15 soluciones SIEM, EDR, XDR y plataformas de análisis de datos.

¿Buscando dominar tus habilidades en Sigma y ATT&CK mientras contribuyes a un futuro más seguro? Únete al Programa Threat Bounty, que permite a los aspirantes a autores de contenido codificar un futuro CV, perfeccionar habilidades profesionales a través de la experiencia compartida y monetizar su contenido de detección.

Para acceder a la lista completa de reglas Sigma para la detección de actividad adversaria UAC-0010, haz clic en el botón Explorar Detecciones a continuación. Los ingenieros de seguridad pueden consultar algoritmos de detección relevantes filtrados por la etiqueta personalizada “UAC-0010” y explorar metadatos, como contexto ATT&CK, enlaces CTI, binarios y más.

Explorar Detecciones

Desde el estallido de la guerra a gran escala en Ucrania, el país ha estado bajo ataques cibernéticos constantes por parte del grupo de hacking afiliado a Rusia conocido por los defensores cibernéticos bajo una variedad de apodos, incluidos Armageddon APT, Gamaredon, Trident Ursa, Shuckworm, UAC-0010 y Primitive Bear. Según el Servicio de Seguridad de Ucrania, el colectivo de hackers está vinculado al Servicio Federal de Seguridad de Rusia y tiene como objetivo lanzar actividades de inteligencia y subversión contra Ucrania y aliados de la OTAN en el dominio cibernético.

El grupo APT ha estado explotando activamente el vector de ataque de phishing. Los investigadores de ciberseguridad de CERT-UA se esfuerzan constantemente por llamar la atención de los defensores cibernéticos sobre la actividad maliciosa cada vez mayor de este grupo que identifican como UAC-0010. Los actores de amenazas lanzaron una ola de ataques de phishing que apuntan principalmente a organismos estatales ucranianos en abril y mayo, en los que aprovecharon el malware GammaLoad.PS1 y su versión mejorada, GammaLoad.PS1_v2. En agosto de 2022, aprovecharon las cargas útiles de GammaLoad y GammaSteel para infectar los sistemas comprometidos en otra campaña de phishing. En un ataque más reciente de noviembre, se observó al colectivo de hackers difundiendo masivamente correos electrónicos falsificados con el remitente disfrazado como el Servicio Especial de Comunicaciones del Estado de Ucrania, explotando un archivo adjunto malicioso con un archivo HTML que desencadenó una cadena de infección.

El informe más reciente de Palo Alto Networks Unit 42 obtiene información sobre las amenazas crecientes atribuidas a la actividad adversaria de Trident Ursa. Basándose en su investigación, el equipo de Unit 42 ha estado ampliando su alcance de ataques más allá de Ucrania. A finales de septiembre de 2022, los actores de amenazas hicieron un intento fallido de comprometer una empresa de refinación de petróleo a gran escala en un país, que pertenece a los miembros de la OTAN, escalando así un conflicto en la línea del frente cibernético.

El notorio grupo de hacking afiliado a Rusia está planteando desafíos desalentadores a las fuerzas defensivas, actualizando continuamente sus TTP adversarios y mejorando las técnicas de evasión de detección. Por ejemplo, los actores de amenazas aplican la técnica de DNS fast flux para aumentar la resiliencia de sus operaciones maliciosas y dificultar los procedimientos de análisis antimalware. Otras técnicas adversarias utilizadas por Trident Ursa incluyen eludir DNS a través de servicios web legítimos y Telegram Messenger y ocultar las asignaciones de IP verdaderas utilizando subdominios para sus operaciones maliciosas en lugar de dominios raíz.

Trident Ursa aplica comúnmente un conjunto de múltiples métodos adversarios para comprometer inicialmente los sistemas objetivo a través de código VBScript y frecuentemente entrega contenido malicioso a través de archivos adjuntos HTML utilizados como cebos de phishing.

Como medidas potenciales de mitigación, Unit 42 recomienda implementar una solución de seguridad DNS confiable y monitorear minuciosamente todo el tráfico de red que se comunica con AS 197695.

Trident Ursa aka Gamaredon APT es un colectivo de hacking adaptativo que expande continuamente su conjunto de herramientas adversarias, aprovechando nuevas técnicas de ofuscación y aprovechando nuevos dominios, lo que sigue siendo una amenaza para Ucrania y sus aliados. Para resistir proactivamente las capacidades ofensivas, explore nuestro Motor de Búsqueda de Reglas Sigma y equípese con las detecciones más relevantes contra amenazas actuales y emergentes junto con inteligencia de amenazas cibernéticas en profundidad.