El grupo Gamaredon, vinculado a Rusia, intentó entrar en una gran refinería de petróleo de un Estado miembro de la OTAN a principios de este año, en medio de la guerra ruso-ucraniana.

El ataque, que tuvo lugar el 30 de agosto de 2022, es sólo uno de los múltiples ataques orquestados por la amenaza persistente avanzada (APT) que se atribuye al Servicio Federal de Seguridad de Rusia (FSB).

Gamaredon, también conocido por los nombres de Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa y Winterflounder, ha atacado principalmente a entidades ucranianas y, en menor medida, a aliados de la OTAN para obtener datos confidenciales.

"A medida que el conflicto ha continuado sobre el terreno y en el ciberespacio, Trident Ursa ha estado operando como un creador de acceso dedicado y recopilador de inteligencia", dijo Palo Alto Networks. "Trident Ursa sigue siendo una de las APT más penetrantes, intrusivas, continuamente activas y centradas en Ucrania".

El seguimiento continuado de las actividades del grupo por parte de Unit 42 ha descubierto más de 500 nuevos dominios, 200 muestras de malware y múltiples cambios en sus tácticas durante los últimos 10 meses en respuesta a unas prioridades en constante evolución y expansión.

Más allá de los ciberataques, se dice que la comunidad de seguridad en general ha recibido tuits amenazadores de un supuesto socio de Gamaredon, lo que pone de relieve las técnicas de intimidación adoptadas por el adversario.

Otros métodos dignos de mención incluyen el uso de páginas de Telegram para buscar servidores de comando y control (C2) y DNS de flujo rápido para rotar a través de muchas direcciones IP en un corto espacio de tiempo para dificultar los esfuerzos de denegación y retirada basados en IP.

Los ataques en sí implican la entrega de archivos adjuntos armados incrustados en correos electrónicos de “spear-phishing” para desplegar una puerta trasera VBScript en el host comprometido, capaz de establecer la persistencia y ejecutar código VBScript adicional suministrado por el servidor C2.

También se han observado cadenas de infección de Gamaredon que aprovechan el geobloqueo para limitar los ataques a ubicaciones específicas y utilizan ejecutables dropper para lanzar cargas útiles VBScript de siguiente etapa, que posteriormente se conectan al servidor C2 para ejecutar otros comandos.

El mecanismo de geobloqueo funciona como un punto ciego de seguridad, ya que reduce la visibilidad de los ataques del actor de la amenaza fuera de los países objetivo y dificulta el seguimiento de sus actividades.

"Trident Ursa sigue siendo una APT ágil y adaptable que no utiliza técnicas demasiado sofisticadas o complejas en sus operaciones", afirman los investigadores. "En la mayoría de los casos, se basan en herramientas y scripts disponibles públicamente (junto con una cantidad significativa de ofuscación), así como en intentos rutinarios de phishing para ejecutar con éxito sus operaciones."