L’attore di minaccia legato alla Russia, noto come Gamaredon, è stato osservato mentre conduceva attività di esfiltrazione dati entro un’ora dal compromesso iniziale. Secondo il Computer Emergency Response Team dell’Ucraina (CERT-UA), come vettore di compromesso primario, vengono utilizzate per lo più email e messaggi nei messaggeri (Telegram, WhatsApp, Signal), nella maggior parte dei casi, utilizzando account precedentemente compromessi.
Chi è Gamaredon?
Gamaredon, noto anche come Aqua Blizzard, Armageddon, Shuckworm o UAC-0010, è un attore sponsorizzato dallo stato con legami con l’Ufficio Principale SBU nella Repubblica Autonoma di Crimea, che è stata annessa dalla Russia nel 2014. Si stima che il gruppo abbia infettato migliaia di computer governativi.
Le attività di Gamaredon
È anche uno dei molti gruppi di hacker russi che hanno mantenuto una presenza attiva dall’inizio della guerra russo-ucraina nel febbraio 2022, sfruttando campagne di phishing per consegnare backdoor PowerShell come GammaSteel per condurre attività di ricognizione ed eseguire comandi aggiuntivi.
Le tecniche di Gamaredon
I messaggi arrivano tipicamente con un archivio che contiene un file HTM o HTA che, quando aperto, attiva la sequenza di attacco. Secondo CERT-UA, GammaSteel viene utilizzato per esfiltrare file che corrispondono a un set specifico di estensioni entro un periodo di tempo di 30-50 minuti. Il gruppo è stato anche osservato mentre evolveva costantemente le sue tattiche, utilizzando tecniche di infezione USB per la propagazione.
L’uso di software e script da parte di Gamaredon
Significativo è anche l’uso da parte dell’attore di minaccia del software AnyDesk per l’accesso remoto interattivo, script PowerShell per l’intercettazione di sessioni per bypassare l’autenticazione a due fattori (2FA), e Telegram e Telegraph per ottenere le informazioni del server di comando e controllo (C2).