Il mese scorso, il gruppo di hacker Gamaredon, legato alla Russia, ha tentato di compromettere un'entità governativa occidentale senza nome che operava in Ucraina a causa delle continue tensioni geopolitiche tra i due paesi.
Il team di intelligence sulle minacce dell'Unità 42 di Palo Alto Networks, in un nuovo rapporto pubblicato il 3 febbraio, ha affermato che l'attacco di phishing è avvenuto il 19 gennaio, aggiungendo che "ha mappato tre grandi cluster della loro infrastruttura utilizzati per supportare diversi scopi di phishing e malware. "
L'attore della minaccia, noto anche come Shuckworm, Armageddon o Primitive Bear, ha storicamente concentrato i suoi attacchi informatici offensivi contro funzionari e organizzazioni del governo ucraino dal 2013. L'anno scorso, l'Ucraina ha rivelato i legami del collettivo con il Servizio di sicurezza federale russo (FSB).
Per effettuare l'attacco di phishing, gli operatori dietro la campagna hanno sfruttato una piattaforma di ricerca di lavoro e occupazione all'interno del paese come canale per caricare il loro downloader di malware sotto forma di curriculum per un elenco di lavoro attivo relativo all'entità presa di mira.
"Dati i passaggi e la precisione della consegna coinvolti in questa campagna, sembra che questo potrebbe essere stato un tentativo specifico e deliberato di Gamaredon di compromettere questa organizzazione del governo occidentale", hanno osservato i ricercatori.
Inoltre, l'Unità 42 ha scoperto le prove di una campagna Gamaredon rivolta al Servizio di migrazione statale (SMS) dell'Ucraina il 1° dicembre 2021, che utilizzava un documento Word come esca per installare il software open source UltraVNC virtual network computing (VNC) per il mantenimento accesso remoto ai computer infetti.
"Gli attori di Gameredon perseguono un approccio interessante quando si tratta di costruire e mantenere le loro infrastrutture", hanno affermato i ricercatori. "La maggior parte degli attori sceglie di scartare i domini dopo il loro utilizzo in una campagna informatica per prendere le distanze da qualsiasi possibile attribuzione. Tuttavia, l'approccio di Gamaredon è unico in quanto sembrano riciclare i propri domini ruotandoli costantemente su nuove infrastrutture".
Nel complesso, l'infrastruttura di attacco si estende su non meno di 700 domini canaglia, 215 indirizzi IP e oltre 100 campioni di malware, con i cluster utilizzati per ospitare documenti armati che sono progettati per eseguire codice dannoso quando vengono aperti e fungono da comando e controlla i server per il suo trojan di accesso remoto Pterodo (aka Pteranodon).
I risultati arrivano meno di una settimana dopo che Symantec, di proprietà di Broadcom, ha rivelato i dettagli di un altro attacco orchestrato dallo stesso gruppo tra luglio e agosto 2021 contro un'organizzazione ucraina non identificata per schierare lo Pterodo RAT per attività post-sfruttamento.