Los expertos de Symantec informan que el grupo de hackers Shuckworm (también conocido como Armagedón, Gamaredón, tilden de hierro, Oso primitivo, Tridente Osa, UNC530, platija de invierno, etcétera) está atacando a empresas ucranianas utilizando la puerta trasera Pterodo distribuida a través de unidades USB.
Los principales objetivos de los piratas informáticos son importantes organizaciones del sector militar y de TI..
Según los expertos, en algunos casos, el grupo logró organizar ataques a largo plazo que duró hasta tres meses, que al final podría dar a los atacantes acceso a «cantidades significativas de información confidencial.»
Permítanme recordarles que también informamos que trucobot Un grupo de hackers ataca sistemáticamente a Ucrania, y también eso Microsoft Acusa a Rusia de ciberataques contra aliados de Ucrania.
Los medios también escribieron que Sandworm apunta a Ucrania con Industria2 malware.
lombriz actividad en 2023 aumentó entre febrero y marzo 2023, y los piratas informáticos continuaron teniendo presencia en algunas máquinas comprometidas hasta mayo 2023.
Para lanzar ataques, Shuckworm suele utilizar correos electrónicos de phishing que contienen archivos adjuntos maliciosos disfrazados de .docx., .rar, .efectos especiales, enlace, y archivos hta. Temas como el conflicto armado, enjuiciamento criminal, control del crimen, y la protección infantil se utilizan a menudo como cebo en los correos electrónicos para engañar a los destinatarios para que abran el mensaje en sí y los archivos adjuntos maliciosos..
La nueva campaña de Shuckworm estrenó un nuevo malware, el cual es un Potencia Shell guión que distribuye el Pterodo Puerta trasera. El script se activa cuando se conectan unidades USB infectadas a las computadoras de destino. Primero se copia a sí mismo en la máquina de destino para crear un archivo de acceso directo rtf.lnk. (video_porno.rtf.lnk, do_not_delete.rtf.lnk y evidencia.rtf.lnk). Estos nombres son un intento de inducir a los objetivos a abrir archivos para que Pterodo pueda infiltrarse en sus máquinas..
Luego, el script examina todas las unidades conectadas a la computadora de destino y se copia en todas las unidades extraíbles conectadas para realizar un mayor movimiento lateral y con la esperanza de infiltrarse en dispositivos aislados que intencionalmente no están conectados a Internet para evitar que sean pirateados..
Para cubrir sus huellas, Shuckworm ha creado decenas de variantes de malware (más que 25 Variantes del script de PowerShell entre enero y abril 2023), y está cambiando rápidamente las direcciones IP y la infraestructura utilizada para el control y la gestión..
El grupo también utiliza servicios legítimos para gestionar, incluido Telegrama y el Telégrafo plataforma, para evitar la detección.