Detecção de Ataques Gamaredon: Operações de Ciberespionagem Contra a Ucrânia pelo APT associado à Rússia
Índice:
O pernicioso patrocinado pelo estado alinhado com a Rússia Gamaredon (também conhecido como Hive0051, UAC-0010 ou Armageddon APT) tem lançado uma série de campanhas de ciber-espionagem contra a Ucrânia desde 2014, com ataques cibernéticos intensificados desde a invasão em larga escala da Rússia à Ucrânia em 24 de fevereiro de 2022.
A ESET publicou recentemente uma análise técnica aprofundada, fornecendo insights sobre as operações de ciber-espionagem do Gamaredon contra a Ucrânia ao longo de 2022 e 2023. Apesar do conflito em escalada desde 2022, a atividade do Gamaredon permaneceu constante, com o grupo implantando consistentemente suas ferramentas maliciosas e permanecendo o coletivo de hacking mais ativo no cenário de ameaças cibernéticas ucranianas.
Detectar Ataques APT Gamaredon
Notórios grupos de hackers afiliados à Rússia continuam a apresentar desafios significativos para os defensores de cibersegurança, evoluindo constantemente suas táticas, técnicas e procedimentos (TTPs) para melhorar a evasão de detecção. Desde o início da guerra total na Ucrânia, esses grupos APT intensificaram suas atividades, usando o conflito como campo de teste para estratégias maliciosas inovadoras. Esses métodos recém-refinados são então implantados contra alvos globais de alta prioridade alinhados aos interesses estratégicos de Moscou, amplificando a ameaça cibernética em escala mundial. Esta atividade incessante força os profissionais de segurança a buscar conteúdo de detecção confiável e ferramentas avançadas de detecção de ameaças e caça para se manter à frente dos adversários em evolução.
Para identificar ataques APT Gamaredon apoiados pela Rússia nas primeiras fases, os profissionais de segurança podem contar com a Plataforma SOC Prime para defesa cibernética coletiva, oferecendo um conjunto dedicado de regras Sigma emparelhado com um conjunto completo de produtos para detecção avançada de ameaças, caça automatizada de ameaças e engenharia de detecção baseada em IA. Basta clicar no botão Explorar Detecções abaixo para aprofundar imediatamente em um conjunto de detecção curado disponível na Plataforma SOC Prime.
As regras são compatíveis com mais de 30 soluções SIEM, EDR e Data Lake e mapeadas para a estrutura MITRE ATT&CK®. Além disso, as detecções são enriquecidas com extensa metadados, incluindo inteligência de ameaças referências, cronogramas de ataque e recomendações de triagem, ajudando a suavizar a investigação de ameaças.
Defensores cibernéticos à procura de mais conteúdo de detecção abordando os TTPs do Gamaredon para analisar retrospectivamente a atividade do grupo podem navegar pelo Marketplace de Detecção de Ameaças usando as seguintes tags: “UAC-0010”, “Gamaredon”, “Hive0051”, “ACTINIUM”, “Primitive Bear”, “Grupo Armageddon”, “Aqua Blizzard”, “WINTERFLOUNDER”, “UNC530”, “Shuckworm.”
Análise de Ataques APT Gamaredon: Baseado na Pesquisa mais Recente da ESET
O grupo de ciberespionagem apoiado pela Rússia rastreado como Gamaredon, também conhecido como Armageddon APT (Hive0051 ou UAC-0010), tem lançado ativamente ataques de alto perfil contra a Ucrânia desde o início da guerra cibernética global. Em 2022, o Gamaredon esteve por trás de uma série de campanhas de phishing contra a Ucrânia, usando várias versões do GammaLoad, incluindo GammaLoad.PS1, que foi entregue através de VBScript malicioso e uma versão atualizada identificada como GammaLoad.PS1_v2.
Na pesquisa mais recente da ESET e em um white papermais detalhado, os defensores exploram as técnicas de obfuscação em evolução do Gamaredon e métodos para evadir bloqueio baseado em domínio, que complicam os esforços de rastreamento e detecção, junto com as ferramentas adversárias mais comuns aplicadas pelo coletivo de hackers para atacar a Ucrânia.
The O Serviço de Segurança da Ucrânia (SSU) ligou o Gamaredon ao Serviço Federal de Segurança da Rússia, com sede na Crimeia ocupada. De acordo com a ESET, o grupo APT apoiado pela Rússia tem vínculos com outro coletivo de hackers rastreado como InvisiMole.
A telemetria da ESET, CERT-UA e outras autoridades ucranianas mostram que a maioria dos ataques do Gamaredon tem como alvo agências governamentais ucranianas. No entanto, o grupo também deslocou seu foco além da Ucrânia. Por exemplo, no final de setembro de 2022, os atores da ameaça tentaram invadir uma grande empresa de refinaria de petróleo em um país membro da OTAN, escalando as tensões no front cibernético.
O Gamaredon usa campanhas de spearphishing para infectar novas vítimas, aproveitando seu malware personalizado para armar documentos do Word e drives USB acessíveis à vítima inicial, que provavelmente serão compartilhados com outros. Ao contrário da maioria dos grupos APT, o Gamaredon não prioriza a furtividade durante suas operações de ciber-espionagem. Os adversários operam de forma descuidada, no entanto, colocam um esforço significativo para evadir produtos de segurança e manter o acesso a sistemas comprometidos.
Para manter o acesso, o Gamaredon frequentemente implanta vários downloaders simples ou backdoors de uma vez. Apesar da falta de sofisticação de suas ferramentas, atualizações frequentes e mudanças regulares de obfuscação ajudam a permanecer sob o radar.
O conjunto de ferramentas ofensivas do Gamaredon evoluiu significativamente. Em 2022, o grupo mudou do uso de arquivos SFX para a dependência de VBScript e PowerShell. Em 2023, eles aprimoraram suas capacidades de ciber-espionagem, desenvolvendo novas ferramentas em PowerShell projetadas para roubar dados sensíveis de aplicativos da web, clientes de e-mail e aplicativos de mensagens como Signal e Telegram.
No final do verão de 2023, pesquisadores da ESET descobriram o PteroBleed, um infostealer direcionado a um sistema militar ucraniano e um serviço de webmail usado por um órgão estatal ucraniano. As ferramentas do Gamaredon, categorizadas em downloaders, droppers, armadores, ladrões, backdoors, e utilitários especializados, são usadas para entregar cargas, modificar arquivos, exfiltrar dados, e manter acesso remoto.
O Gamaredon comumente emprega DNS fast flux para alterar frequentemente os endereços IP de seus servidores C2 e para contornar bloqueios baseados em IP. O grupo também registra e atualiza regularmente numerosos novos domínios C2, usando principalmente o TLD .ru, para evadir o bloqueio baseado em domínio.
Os adversários ainda contornam detecções baseadas na rede utilizando serviços de terceiros como Telegram, Cloudflare e ngrok. Apesar da relativa simplicidade de suas ferramentas, as táticas agressivas do grupo e sua persistência representam uma ameaça significativa para as potenciais vítimas, o que requer ultra-responsividade dos defensores. Aproveite o conjunto completo de produtos da SOC Prime para engenharia de deteção alimentada por IA, caça automatizada de ameaças e detecção avançada de ameaças para prever ataques cibernéticos de qualquer sofisticação e tornar a postura de segurança da organização à prova de futuro.
