Rilevamento degli Attacchi del Gruppo di Spionaggio Shuckworm: Attori di Minaccia Sostenuti dalla Russia Attaccano Ripetutamente le Organizzazioni Militari, di Sicurezza e Governative Ucraine
Indice:
Dall’invasione su larga scala dell’Ucraina da parte della Russia, le forze offensive dell’aggressore hanno lanciato una valanga di campagne di cyber-spionaggio contro l’Ucraina e i suoi alleati, principalmente mirando ad agenzie governative e sfruttando frequentemente il vettore di attacco di phishing. Il famigerato collettivo di hacker chiamato Shuckworm (Armageddon, Gamaredon), noto per avere legami con l’FSB russo, è stato osservato dietro una serie di attacchi contro gli organi statali ucraini almeno dal 2014, lanciando principalmente operazioni di cyber-intelligence mirate alla raccolta di informazioni. I ricercatori di cybersecurity hanno recentemente notato un aumento dell’attività malevola del gruppo, con le organizzazioni di servizi di sicurezza, le agenzie militari e governative come obiettivi principali attuali.
Rilevare le campagne di spionaggio di Shuckworm
Le campagne di cyber-spionaggio persistenti e focalizzate attribuite al nefando collettivo di hacker russo noto come Shuckworm catturano l’attenzione dei difensori cyber a causa della grave minaccia che rappresentano per molte organizzazioni ucraine, principalmente nel settore pubblico. Il gruppo, sperimentando intrusioni prolungate e sviluppando costantemente il proprio arsenale di avversari, richiede una consapevolezza vigile dalla comunità globale di difensori cyber per essere pronti a rispondere in modo tempestivo alle crescenti minacce delle operazioni di cyber-spionaggio degli aggressori. La piattaforma di SOC Prime per la difesa cyber collettiva cura un set dedicato di regole Sigma per aiutare le organizzazioni a difendersi in modo proattivo dagli attacchi di Shuckworm.
Tutte le regole Sigma sono filtrate dal tag personalizzato corrispondente “Shuckworm” per semplificare la ricerca dei contenuti. Cliccare sul Esplora Rilevamenti pulsante qui sotto per esplorare l’intera collezione di regole di rilevamento pertinenti e query di ricerca mappate nel framework MITRE ATT&CK® e automaticamente convertibili nelle soluzioni leader del settore SIEM, EDR e XDR. Per un’indagine sulle minacce semplificata, esplora i collegamenti ATT&CK, CTI, i binari eseguibili collegati alle regole Sigma e altro metadati pertinenti.
Attività di Shuckworm: Analisi degli Attacchi Più Recenti
Emerso per la prima volta nel 2013, Shuckworm (noto anche come Gamaredon, Armageddon, Trident Ursa) è un giocatore esperto nell’arena malevola. Il collettivo di hacker agisce come parte integrante del Servizio di Sicurezza Federale della Federazione Russa, mirato a svolgere attività di intelligenza cibernetica e sovversione mirate contro l’Ucraina e i suoi alleati. Il CERT-UA osserva da vicino le operazioni offensive del gruppo Shuckworm tracciate dai ricercatori CERT-UA sotto l’identificativo UAC-0010. Durante il 2022-2023, Shuckworm è rimasto uno degli APT più intrusivi e focalizzati sul bersaglio delle entità ucraine sulla prima linea cibernetica, oltre a tentare di interrompere le infrastrutture critiche nei paesi della NATO.
Tipicamente, il gruppo Shuckworm si affida a campagne di spear-phishing per procedere con attività di cyber-spionaggio. Gli attori delle minacce applicano strumenti semplici scritti in VBScript, VBA Script, C#, C++ e altri linguaggi di programmazione, utilizzando principalmente software open source nei primi giorni della loro attività mentre tendono gradualmente ad arricchire il loro arsenale con una serie di strumenti di cyber-spionaggio personalizzati, tra cui Pterodo/Pteranodon, EvilGnome e diversi ladri di informazioni come GammaLoad, GammaSteal e Giddome.
Dall’inizio della guerra su larga scala in Ucraina, Shuckworm ha significativamente intensificato le sue attività malevoli, con l’ultimo picco osservato tra febbraio e marzo 2023. Oltre agli aumenti dei volumi di attacchi, gli avversari di Shuckworm tendono ad arricchire il loro arsenale malevolo. L’ inchiesta di Symantec dettaglia che l’attore APT passa da ladri d’informazioni, dirottatori di template di Word di default, e diverse varianti del backdoor Pteranodon a un nuovo malware USB che aiuta gli hacker a propagarsi attraverso la rete, infettando una gamma più ampia di istanze.
È importante notare che durante l’ultima campagna, gli hacker Shuckworm hanno specificamente concentrato la loro attenzione sui dipartimenti delle risorse umane del governo ucraino, militare, sicurezza e organizzazioni di ricerca nel tentativo di ottenere informazioni sensibili sugli individui legati a quelle entità.
Le intrusioni nell’ultima campagna tipicamente iniziano con un’email di phishing contenente un file malevolo allegato. In caso di apertura, attiva un comando PowerShell che, a sua volta, scarica il payload Pterodo dal server dell’attaccante. Inoltre, lo script PowerShell enumera tutte le unità sul dispositivo e si copia su un’unità USB rimovibile aumentando le possibilità di propagazione nascosta e spostamento laterale di successo nell’ambiente compromesso.
Gli esperti di sicurezza osservano che Shuckworm rimane focalizzato in modo preciso sull’Ucraina e i suoi alleati, avanzando continuamente il proprio arsenale malevolo per operare in cyber-spionaggio e operazioni distruttive. Cooperando direttamente con CERT-UA e SSSCIP, il team di SOC Prime ricerca, sviluppa e testa le regole Sigma sul campo reale, aggregando algoritmi di rilevamento pertinenti e incoraggiando la collaborazione globale tramite la Piattaforma SOC Prime.
Affidati a SOC Prime per essere completamente attrezzato con contenuti di rilevamento contro qualsiasi TTP utilizzato dai gruppi APT nei loro attacchi. Accedi al flusso di notizie di sicurezza più veloce del mondo, intelligence sulle minacce su misura, e al più vasto repository di oltre 10.000 regole Sigma elaborate e continuamente arricchite con nuove idee di rilevamento. Sblocca il potere dell’intelligenza aumentata e dell’esperienza collettiva dell’industria per fornire a qualsiasi membro del team di sicurezza uno strumento definitivo per l’ingegneria avanzata del rilevamento. Identifica i punti ciechi e affrontali tempestivamente per garantire una completa visibilità delle minacce basata sui log specifici dell’organizzazione, senza spostare i dati nel cloud. Registrati alla Piattaforma SOC Prime ora e potenzia il tuo team di sicurezza con i migliori strumenti per un domani sicuro.
