Underc0de

El grupo de ciberespionaje Gamaredon (también conocido como Shuckworm), vinculado a Rusia, ha llevado a cabo un ciberataque dirigido contra una misión militar extranjera en Ucrania. El objetivo era desplegar una versión mejorada del malware GammaSteel, un peligroso ladrón de información.

Detalles del ataque de Gamaredon

🔍 Objetivo: Misión militar de un país occidental en Ucrania.
📅 Fecha de detección: 26 de febrero de 2025.
🛠� Vector de infección: Unidad extraíble infectada, según el informe de Symantec Threat Hunter.

El ataque comenzó con la manipulación del Registro de Windows, utilizando mshta.exe para ejecutar una cadena de infección en varias etapas.

Fases del ataque y funcionamiento del malware

1️⃣ Infección inicial:

• Se crea un valor en el Registro de Windows (UserAssist).
• Se ejecuta mshta.exe desde explorer.exe para iniciar la cadena de infección.

2️⃣ Carga maliciosa:

Se descargan y ejecutan dos archivos clave:

• NTUSER.DAT.TMContainer000000000000000000001.regtrans-ms

• Se conecta a servidores C2 (comando y control) mediante plataformas legítimas como Teletype, Telegram y Telegraph.
• NTUSER.DAT.TMContainer000000000000000000002.regtrans-ms
• Infecta unidades extraíbles y redes compartidas creando accesos directos maliciosos.

3️⃣ Ejecución de comandos y robo de información:

📅 1 de marzo de 2025:

• Se activa un script de PowerShell que exfiltra metadatos y descarga una carga útil codificada en Base64.
• Se conectan a un C2 codificado de forma rígida para obtener nuevos scripts de PowerShell.

4️⃣ Funciones avanzadas de espionaje:

• Captura pantallas del sistema.
• Ejecuta el comando systeminfo para recopilar información del sistema.
• Identifica software de seguridad en ejecución.
• Escanea archivos y carpetas en el Escritorio y Documentos.
• Exfiltra archivos con extensiones específicas mediante la versión mejorada de GammaSteel.

Aumento de la sofisticación de Shuckworm

🔎 Aunque Gamaredon es menos sofisticado que otros actores de amenazas rusos, Symantec destaca su enfoque implacable en objetivos ucranianos.

💡 Estrategias utilizadas para evadir detección:
✔️ Modificaciones constantes en su código malicioso.
✔️ Ofuscación avanzada del malware.
✔️ Uso de servicios web legítimos para dificultar su identificación.

En fin, el ciberataque de Gamaredon refuerza la creciente amenaza de grupos de ciberespionaje vinculados a Rusia. La evolución de GammaSteel demuestra un esfuerzo continuo por mejorar sus tácticas de evasión y persistencia.

Fuente: https://thehackernews.com/