Se ha observado a un actor de amenazas previamente desconocido copiando el oficio asociado con el grupo de piratas informáticos Gamaredon, alineado con el Kremlin, en sus ataques cibernéticos dirigidos a entidades de habla rusa.
La campaña se ha atribuido en un grupo de amenazas denominado GamaCopy, que se estima que comparte superposiciones con otro grupo de piratas informáticos llamado Core Werewolf, también rastreado como Awaken Likho y PseudoGamaredon.
Según el equipo de Inteligencia de Amenazas Avanzadas Knownsec 404, los ataques aprovechan el contenido relacionado con las instalaciones militares como señuelos para lanzar UltraVNC, lo que permite a los actores de amenazas acceder de forma remota a los hosts comprometidos.
"El TTP (Tácticas, Técnicas y Procedimientos) de esta organización imita al de la organización Gamaredon que realiza ataques contra Ucrania", dijo la compañía en un informe publicado la semana pasada.
La revelación llega casi cuatro meses después de que Kaspersky revelara que las agencias gubernamentales rusas y las entidades industriales han sido el objetivo de Core Werewolf, con los ataques de spear-phishing allanando el camino para la plataforma MeshCentral en lugar de UltraVNC.
El punto de partida de la cadena de ataque refleja el detallado por la empresa rusa de ciberseguridad, en el que un archivo de almacenamiento autoextraíble (SFX) creado con 7-Zip actúa como conducto para soltar las cargas útiles de la siguiente etapa. Esto incluye un script por lotes que es responsable de entregar UltraVNC, al mismo tiempo que muestra un documento PDF señuelo.
Al ejecutable UltraVNC se le da el nombre "OneDrivers.exe" en un probable esfuerzo por evadir la detección haciéndolo pasar como un binario asociado con Microsoft OneDrive.
Knownsec 404 dijo que la actividad comparte varias similitudes con las campañas de Core Werewolf, incluido el uso de archivos 7z-SFX para instalar y ejecutar UltraVNC, el puerto 443 para conectarse al servidor y el uso del comando EnableDelayedExpansion.
"Desde su exposición, esta organización ha imitado con frecuencia los TTP utilizados por la organización Gararedon y ha utilizado inteligentemente herramientas de código abierto como escudo para lograr sus propios objetivos mientras confunde al público", dijo la compañía.
GamaCopy es uno de los muchos actores de amenazas que han atacado a organizaciones rusas a raíz de la guerra ruso-ucraniana, como Sticky Werewolf (también conocido como PhaseShifters), Venture Wolf y Paper Werewolf.
"Grupos como PhaseShifters, PseudoGamaredon y Fluffy Wolf se destacan por sus implacables campañas de phishing destinadas al robo de datos", dijo Irina Zinovkina de Positive Technologies.
Fuente: GamaCopy imita las tácticas de Gamaredon en el espionaje cibernético dirigido a entidades rusas
