Detecção de Ataque do Grupo de Espionagem Shuckworm: Atores de Ameaça Patrocinados pela Rússia Atacam Repetidamente Organizações Militares, de Segurança e Governo Ucranianas
Índice:
Desde a invasão em larga escala da Ucrânia pela Rússia, as forças ofensivas do agressor lançaram uma avalanche de campanhas de ciberespionagem contra a Ucrânia e seus aliados, principalmente visando agências governamentais e frequentemente utilizando o vetor de ataque de phishing. O infame coletivo de hackers apelidado de Shuckworm (Armageddon, Gamaredon), que é conhecido por ter ligações com o FSB da Rússia, foi observado por trás de uma série de ataques contra órgãos estatais ucranianos desde pelo menos 2014, principalmente realizando operações de ciberinteligência direcionadas à coleta de inteligência. Pesquisadores de cibersegurança recentemente notaram um aumento na atividade maliciosa do grupo, com organizações de serviços de segurança, militares e agências governamentais sendo os alvos primários atuais.
Detectar as Campanhas de Espionagem do Shuckworm
As campanhas persistentes e focadas de ciberespionagem atribuídas ao nefasto coletivo de hackers da Rússia, conhecido como Shuckworm, capturam a atenção dos defensores cibernéticos devido à grave ameaça que representam para múltiplas organizações ucranianas, principalmente no setor público. O experimento do grupo com intrusões de longa duração e o constante desenvolvimento de seu kit de ferramentas adversárias demandam uma conscientização vigilante da comunidade mundial de defensores cibernéticos para estar pronta para responder em tempo hábil ao aumento das ameaças das operações de ciberespionagem dos agressores. A plataforma da SOC Prime para defesa cibernética coletiva cura um conjunto dedicado de regras Sigma para ajudar as organizações a se defenderem proativamente contra os ataques do Shuckworm.
Todas as regras Sigma são filtradas pelo tag personalizado correspondente “Shuckworm” para simplificar a busca de conteúdo. Clique no Explore Detections botão abaixo para aprofundar-se na coleção completa de regras de detecção relevantes e consultas de hunting mapeadas para o framework MITRE ATT&CK® e automaticamente convertível para as soluções líderes de mercado de SIEM, EDR e XDR. Para uma investigação de ameaça simplificada, explore os links ATT&CK, CTI, binários executáveis vinculados às regras Sigma e mais metadados relevantes.
Atividade do Shuckworm: Analisando os Últimos Ataques
Surgido pela primeira vez em 2013, o Shuckworm (também conhecido como Gamaredon, Armageddon, Trident Ursa) é um jogador experiente na arena maliciosa. O coletivo de hackers atua como uma parte integrante do Serviço Federal de Segurança da Federação Russa com o objetivo de realizar atividades cibernéticas de inteligência direcionadas e subversivas contra a Ucrânia e seus aliados. A CERT-UA mantém um olhar atento sobre as operações ofensivas do grupo Shuckworm rastreado por pesquisadores da CERT-UA sob o identificador UAC-0010. Durante 2022-2023, o Shuckworm permaneceu como um dos APTs mais intrusivos e focados visando entidades ucranianas na linha de frente cibernética, além de tentar desestabilizar as instalações de infraestrutura crítica nos países da OTAN.
Tipicamente, o grupo Shuckworm rely em campanhas de spear-phishing para prosseguir com atividades de ciberespionagem. Os atores de ameaça aplicam ferramentas simples escritas em VBScript, VBA Script, C#, C++ e outras linguagens de programação, principalmente aproveitando software de código aberto nos primeiros dias de sua atividade enquanto tendem gradualmente a enriquecer seu kit de ferramentas com uma série de ferramentas de ciberespionagem personalizadas, incluindo Pterodo/Pteranodon, EvilGnome e vários ladrões de informações, como GammaLoad, GammaSteal e Giddome.
Desde o início da guerra em grande escala na Ucrânia, o Shuckworm intensificou significativamente suas atividades maliciosas, com o último pico observado em fevereiro-março de 2023. Além do aumento de volumes de ataques, os adversários do Shuckworm tendem a enriquecer seu conjunto de ferramentas maliciosas. A investigação da Symantec detalha que o ator APT mudou de ladrões de informações, sequestradores de modelos padrão do Word e diferentes variantes do backdoor Pteranodon para um novo malware de USB ajudando hackers a se propagarem pela rede, infectando um escopo mais amplo de instâncias.
Vale a pena notar que durante sua última campanha, os hackers do Shuckworm concentraram-se especificamente no setor de RH do governo ucraniano, militar, segurança e organizações de pesquisa na tentativa de obter informações sensíveis sobre indivíduos relacionados a essas entidades.
As intrusões na última campanha geralmente começam com um e-mail de phishing carregando um arquivo malicioso anexado. Caso seja aberto, ele aciona um comando PowerShell que, por sua vez, baixa o payload do Pterodo do servidor do atacante. Adicionalmente, o script PowerShell enumera todos os drives no dispositivo e se copia para uma unidade USB removível, aumentando as chances de propagação oculta e movimentação lateral bem-sucedida no ambiente comprometido.
Especialistas em segurança observam que o Shuckworm permanece focado na Ucrânia e seus aliados, avançando continuamente seu conjunto de ferramentas maliciosas para executar operações de ciberespionagem e destruição. Cooperando diretamente com a CERT-UA e SSSCIP, a equipe SOC Prime pesquisa, desenvolve e testa regras Sigma no campo de batalha real, agregando algoritmos de detecção relevantes e encorajando a colaboração global através da Plataforma da SOC Prime.
Confie na SOC Prime para estar completamente equipado com conteúdos de detecção contra qualquer TTP usado por grupos APT em seus ataques. Acesse o feed mais rápido do mundo de notícias de segurança, inteligência de ameaças personalizadas e o maior repositório de mais de 10.000 regras Sigma curadas, continuamente enriquecido com novas ideias de detecção. Desbloqueie o poder da inteligência aumentada e da expertise coletiva da indústria para equipar qualquer membro da equipe de segurança com a ferramenta definitiva para engenharia de detecção avançada. Identifique pontos cegos e os aborde em tempo hábil para garantir visibilidade completa da ameaça com base nos logs específicos da organização sem mover dados para a nuvem. Registre-se na Plataforma da SOC Prime agora e equipe sua equipe de segurança com as melhores ferramentas para um amanhã seguro.
