Rilevamento degli attacchi Gamaredon: Operazioni di cyber-spionaggio contro l’Ucraina da parte dell’APT legato alla Russia
Indice:
La nefasta affiliata allo stato russo allineata Gamaredon (noto anche come Hive0051, UAC-0010 o Armageddon APT) ha lanciato una serie di campagne di cyber-spionaggio contro l’Ucraina dal 2014, con attacchi informatici intensificati sin dal invasione su vasta scala dell’Ucraina da parte della Russia il 24 febbraio 2022.
ESET ha recentemente pubblicato un’analisi tecnica approfondita, fornendo approfondimenti sulle operazioni di cyber-spionaggio di Gamaredon contro l’Ucraina durante il 2022 e il 2023. Nonostante il conflitto in escalation dal 2022, l’attività di Gamaredon è rimasta costante, con il gruppo che continua a distribuire i suoi strumenti dannosi e rimanendo il collettivo di hacking più attivo nel panorama delle minacce informatiche ucraine.
Rileva gli Attacchi APT di Gamaredon
Noti gruppi di hacker affiliati alla Russia continuano a rappresentare sfide significative per i difensori della sicurezza informatica, evolvendo costantemente le loro tattiche, tecniche e procedure (TTP) per migliorare l’elusione del rilevamento. Dall’inizio della guerra totale in Ucraina, questi gruppi APT hanno intensificato le loro attività , usando il conflitto come banco di prova per strategie malevole innovative. Questi metodi recentemente affinati vengono quindi impiegati contro obiettivi globali di alta priorità allineati con gli interessi strategici di Mosca, amplificando la minaccia informatica su scala mondiale. Questa attività incessante costringe i professionisti della sicurezza a cercare contenuti di rilevamento affidabili e strumenti avanzati di rilevamento e caccia alle minacce per rimanere un passo avanti rispetto agli avversari in evoluzione.
Per individuare gli attacchi APT di Gamaredon supportati dalla Russia nelle fasi iniziali, i professionisti della sicurezza potrebbero fare affidamento sulla Piattaforma SOC Prime per la difesa informatica collettiva, offrendo un set di regole Sigma dedicato abbinato a una suite di prodotti completa per il rilevamento avanzato delle minacce, la caccia alle minacce automatizzata e l’ingegneria del rilevamento potenziata dall’IA. Basta premere il Pulsante Explore Detections qui sotto per approfondire immediatamente uno stack di rilevamento curato disponibile sulla Piattaforma SOC Prime.
Le regole sono compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake e sono mappate al framework MITRE ATT&CK®. Inoltre, i rilevamenti sono arricchiti con metadati estesi, inclusi intel minacce riferimenti, linee temporali degli attacchi e raccomandazioni di triage, aiutando a semplificare l’indagine sulle minacce.
I difensori cibernetici alla ricerca di ulteriore contenuto di rilevamento indirizzato ai TTP di Gamaredon per analizzare retrospettivamente l’attività del gruppo potrebbero esplorare il Mercato del Rilevamento delle Minacce usando i seguenti tag: “UAC-0010,” “Gamaredon,” “Hive0051,” “ACTINIUM,” “Primitive Bear,” “Armageddon Group,” “Aqua Blizzard,” “WINTERFLOUNDER,” “UNC530,” “Shuckworm.”
Analisi degli Attacchi APT di Gamaredon: Basata sulla Più Recente Ricerca di ESET
Il gruppo di cyber-spionaggio supportato dalla Russia tracciato come Gamaredon, noto anche come Armageddon APT (Hive0051 o UAC-0010), è stato attivamente impegnato nel lanciare attacchi di alto profilo contro l’Ucraina dall’ scoppio della guerra informatica globale. Nel 2022, Gamaredon è stato responsabile di una serie di campagne di phishing contro l’Ucraina, utilizzando varie versioni di GammaLoad, inclusa GammaLoad.PS1, che è stata fornita tramite VBScript dannoso e una versione aggiornata identificata come GammaLoad.PS1_v2.
Nella più recente ricerca di ESET e in un più dettagliato documento tecnico, i difensori esplorano le tecniche di offuscamento in evoluzione di Gamaredon e i metodi per eludere il blocco basato su domini, che complicano gli sforzi di tracciamento e rilevamento, insieme agli strumenti avversari più comuni applicati dal collettivo di hacker per colpire l’Ucraina.
The Servizio di Sicurezza dell’Ucraina (SSU) ha collegato Gamaredon al Servizio di Sicurezza Federale della Russia, con sede in Crimea occupata. Secondo ESET, il gruppo APT supportato dalla Russia ha legami con un altro collettivo di hacker tracciato come InvisiMole.
La telemetria di ESET, CERT-UA e altre autorità ucraine mostrano che la maggior parte degli attacchi di Gamaredon prende di mira agenzie governative ucraine. Tuttavia, il gruppo ha anche spostato il suo focus oltre l’Ucraina. Per esempio, a fine settembre 2022, gli attori delle minacce hanno tentato di violare una grande azienda di raffinazione del petrolio in un paese membro della NATO, aumentando le tensioni sul fronte informatico.
Gamaredon utilizza campagne di spearphishing per infettare nuove vittime, sfruttando il suo malware personalizzato per armare documenti Word e unità USB accessibili alla vittima iniziale, che probabilmente verranno condivisi con altri. A differenza della maggior parte dei gruppi APT, Gamaredon non dà priorità alla furtività durante le sue operazioni di cyber-spionaggio. Gli avversari operano in modo sconsiderato, tuttavia, mettono molto impegno nell’evitare i prodotti di sicurezza e mantenere l’accesso ai sistemi compromessi.
Per mantenere l’accesso, Gamaredon spesso distribuisce più downloader semplici o backdoor contemporaneamente. Nonostante la mancanza di sofisticazione dei loro strumenti, aggiornamenti frequenti e modifica regolare dell’offuscamento aiutano a mantenersi sotto il radar.
Il set di strumenti offensivi di Gamaredon si è evoluto significativamente. Nel 2022, il gruppo è passato dall’uso di archivi SFX a quello di VBScript e PowerShell. Entro il 2023, avevano migliorato le loro capacità di cyber-spionaggio, sviluppando nuovi strumenti PowerShell progettati per rubare dati sensibili da applicazioni web, client email e app di messaggistica come Signal e Telegram.
Alla fine dell’estate 2023, i ricercatori di ESET hanno scoperto PteroBleed, un infostealer che prende di mira un sistema militare ucraino e un servizio di webmail utilizzato da un ente statale ucraino. Gli strumenti di Gamaredon, categorizzati in downloader, droppers, weaponizers, stealers, backdoor e utility specializzate, sono utilizzati per consegnare payload, modificare file, esfiltrare dati e mantenere l’accesso remoto.
Gamaredon impiega comunemente fast flux DNS per cambiare frequentemente gli indirizzi IP dei suoi server C2 e bypassare il blocco basato su IP. Il gruppo registra e aggiorna regolarmente numerosi nuovi domini C2, utilizzando principalmente il TLD .ru, per eludere il blocco basato su domini.
Gli avversari aggirano ulteriormente i rilevamenti basati sulla rete utilizzando servizi di terze parti come Telegram, Cloudflare e ngrok. Nonostante la relativa semplicità dei loro strumenti, le tattiche aggressive del gruppo e la loro persistenza rappresentano una minaccia significativa per le potenziali vittime, il che richiede un’ultra-responsività da parte dei difensori. Sfruttare la suite completa di prodotti SOC Prime per l’ingegneria del rilevamento potenziata dall’IA, la caccia alle minacce automatizzata e il rilevamento avanzato delle minacce per prevenire attacchi informatici di qualsiasi sofisticazione e proteggere a lungo termine la postura di sicurezza dell’organizzazione.
