El gusano Shuckworm, afiliado a Rusia, intensifica los ciberataques contra Ucrania

El grupo de espionaje Shuckworm (alias Gamaredon, Armageddon), que se cree está vinculado al Servicio Federal de Seguridad ruso (FSB), ha sido observado intensificando sus ciberataques contra Ucrania.

Descubierta por el equipo Threat Hunter de Symantec, la nueva campaña de Shuckworm se centraba en la adquisición de inteligencia militar y de seguridad para apoyar a posibles fuerzas invasoras.

En concreto, pretendía obtener acceso a información sensible, incluidos informes sobre miembros del servicio militar ucraniano, enfrentamientos con el enemigo, ataques aéreos, inventarios de arsenales y actividades de entrenamiento militar.

El acceso inicial se obtuvo a través de correos electrónicos de phishing con archivos adjuntos maliciosos de distintos tipos. Después, Shuckworm desplegó puertas traseras y herramientas adicionales en los equipos objetivo.

Symantec también observó que el actor de la amenaza utilizaba un nuevo script PowerShell para propagar su malware backdoor personalizado, Pterodo, a través de unidades USB.

En general, la nueva campaña mostró un alto nivel de persistencia, con algunas intrusiones que duraron hasta tres meses.

Para evitar ser detectado, Shuckworm actualizaba constantemente su conjunto de herramientas. Symantec detectó hasta 25 nuevas variantes de los scripts del grupo observadas al mes entre enero y abril de 2023.

Además, aprovechó servicios legítimos como Telegram y su plataforma de microblogging Telegraph para dificultar el seguimiento de su infraestructura de comando y control.

Zi zoomSendmarc

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.