ESET Research ESET Research ha realizado un análisis técnico integral del conjunto de herramientas de Gamaredon utilizado para llevar a cabo sus actividades de ciberespionaje centradas en Ucrania 26 de septiembre de 2024 • , 5 min. leer La guerra en Ucrania, que comenzó en febrero de 2014 y se intensificó con la invasión rusa del país el 24 de febrero de 2022, ejemplifica una guerra multifacética, plagada de campañas de desinformación y guerra cibernética. A lo largo de estos años, ESET Research ha revelado varios ataques cibernéticos de alto perfil realizados por grupos de amenazas persistentes avanzadas (APT) alineados con Rusia dirigidos a entidades ucranianas y hablantes de ucraniano, analizó varias operaciones y realizó un seguimiento de múltiples grupos APT que se centran en esta región debido a la guerra. En esta investigación, decidimos examinar las operaciones de Gamaredon, el grupo alineado con Rusia que ha estado activo desde al menos 2013 y actualmente es el grupo APT más comprometido en Ucrania. La intensidad del conflicto físico ha aumentado notablemente desde 2022, pero vale la pena señalar que el nivel de actividad de Gamaredon se ha mantenido constante: el grupo ha estado desplegando metódicamente sus herramientas maliciosas contra sus objetivos desde mucho antes de que comenzara la invasión. Hemos analizado miles de muestras mientras realizamos un análisis técnico integral del conjunto de herramientas de Gamaredon utilizado para llevar a cabo sus actividades de ciberespionaje en 2022 y 2023; Revelamos los resultados de nuestro análisis en nuestro documento técnico, que puede leer completo aquí: En el documento técnico, compartimos detalles sobre los siempre cambiantes trucos de ofuscación de Gamaredon y las numerosas técnicas utilizadas para evitar el bloqueo basado en dominios. Estas tácticas plantean un desafío importante para los esfuerzos de seguimiento, ya que dificultan que los sistemas detecten y bloqueen automáticamente las herramientas del grupo. Sin embargo, durante nuestra investigación, logramos identificar y comprender estas tácticas y realizar un seguimiento de las actividades de Gamaredon. También describimos las herramientas que son más frecuentes o interesantes de alguna otra manera para arrojar más luz sobre las relaciones que existen entre las herramientas y ayudar a crear una imagen más amplia del ecosistema de las herramientas. Victimología y antecedentes del grupo Gamaredon ha sido atribuido por el Servicio de Seguridad de Ucrania (SSU) al 18º Centro de Seguridad de la Información del FSB, que opera en la Crimea ocupada. Creemos que este grupo está colaborando con otro actor de amenazas que descubrimos y llamamos InvisiMole. Como lo demuestra la telemetría de ESET a lo largo del tiempo, en varios informes de CERT-UA y de otros organismos oficiales ucranianos, la mayoría de los ataques de Gamaredon están dirigidos contra instituciones gubernamentales ucranianas. Para nuestra sorpresa, en abril de 2022 y febrero de 2023 vimos algunos intentos de comprometer objetivos en varios países de la OTAN, a saber, Bulgaria, Letonia, Lituania y Polonia, pero no se observaron violaciones exitosas. Entre el 1 de noviembre de 2022 y el 31 de diciembre de 2023, observamos más de mil máquinas únicas en Ucrania que fueron atacadas por Gamaredon. El promedio móvil de siete días de adiciones diarias se visualiza en la Figura 1. Figura 1. Promedio móvil de siete días de máquinas únicas atacadas en Ucrania Ruidoso e imprudente, pero aún peligroso Para comprometer a nuevas víctimas, Gamaredon lleva a cabo campañas de phishing y luego utiliza su costumbre malware para convertir en armas documentos de Word y unidades USB accesibles a la víctima inicial y que se espera que se compartan con otras víctimas potenciales. Según nuestras observaciones a largo plazo, Gamaredon, a diferencia de la mayoría de los grupos APT, no intenta ser sigiloso y permanecer oculto el mayor tiempo posible mediante el uso de técnicas novedosas cuando lleva a cabo operaciones de ciberespionaje, sino que los operadores son imprudentes y no les importa ser descubiertos por defensores durante sus operaciones. Aunque no les importa mucho el ruido, aparentemente se esfuerzan mucho para evitar ser bloqueados por productos de seguridad y se esfuerzan mucho por mantener el acceso a los sistemas comprometidos. Por lo general, Gamaredon intenta preservar su acceso implementando múltiples descargadores simples o puertas traseras simultáneamente. La falta de sofisticación de las herramientas de Gamaredon se compensa con actualizaciones frecuentes y el uso de ofuscaciones que cambian periódicamente. El cambio hacia el conjunto de herramientas de VBScript y PowerShell Gamaredon ha sufrido varios cambios a lo largo del tiempo. En 2022, el grupo comenzó lentamente a cambiar hacia el uso de VBScript y PowerShell en conjunto, y Gamaredon abandonó casi por completo el uso de archivos SFX, que había sido su táctica principal anteriormente. Durante 2023, Gamaredon mejoró notablemente sus capacidades de ciberespionaje y desarrolló varias herramientas nuevas en PowerShell, centrándose en robar datos valiosos, por ejemplo, de aplicaciones web que se ejecutan dentro de navegadores de Internet, clientes de correo electrónico y aplicaciones de mensajería instantánea como Signal y Telegram. Sin embargo, PteroBleed, un ladrón de información que descubrimos en agosto de 2023, también se centra en robar datos relacionados con un sistema militar ucraniano y de un servicio de correo web utilizado por una institución gubernamental ucraniana. El cronograma de las nuevas herramientas lanzadas en 2022 y 2023 se muestra en la Figura 2; A excepción de PteroScreen, todos fueron descubiertos por ESET Research. Figura 2. Cronología de las nuevas herramientas agregadas al arsenal de Gamaredon En general, podemos clasificar el conjunto de herramientas de Gamaredon en descargadores, cuentagotas, armadores, ladrones, puertas traseras y herramientas ad hoc. El grupo utiliza una combinación de descargadores dedicados y de uso general para entregar cargas útiles. Los cuentagotas se utilizan para entregar varias cargas útiles de VBScript; Los armamentistas alteran las propiedades de los archivos existentes o crean nuevos archivos en unidades USB conectadas, y los ladrones extraen archivos específicos del sistema de archivos. Además, las puertas traseras sirven como shells remotos y las herramientas ad hoc realizan funciones específicas, como un proxy SOCKS inverso o la entrega de carga útil mediante el programa legítimo de línea de comandos rclone. Cambio rápido de direcciones IP y dominios de C&C Nuestro análisis también arroja luz sobre la infraestructura de red del grupo. Gamaredon utiliza una técnica conocida como DNS de flujo rápido: cambia con frecuencia las direcciones IP de sus servidores de comando y control (C&C), generalmente varias veces al día, para evitar el bloqueo basado en IP. El grupo también registra y actualiza con frecuencia muchos dominios C&C nuevos para evitar el bloqueo basado en dominios, utilizando principalmente .ru como dominio de nivel superior (TLD). Gamaredon también ha demostrado ingenio al emplear varias técnicas para evadir las detecciones basadas en la red, aprovechando servicios de terceros como Telegram, Cloudflare y ngrok. A pesar de la relativa simplicidad de sus herramientas, el enfoque agresivo y la persistencia de Gamaredon lo convierten en una amenaza importante. Dada la guerra en curso en la región, esperamos que Gamaredon continúe centrándose en Ucrania. Para obtener un análisis más detallado y un desglose técnico de las herramientas y actividades de Gamaredon, puede acceder al documento técnico completo de ESET Research aquí. Puede encontrar una lista completa de indicadores de compromiso (IoC) en nuestro repositorio de GitHub y en el documento técnico de Gamaredon.