L’attore di minaccia russo noto come Shuckworm ha continuato la sua serie di attacchi cyber contro entità ucraine. L’obiettivo è rubare informazioni sensibili dagli ambienti compromessi. I bersagli delle recenti intrusioni, iniziate tra febbraio e marzo 2023, includono servizi di sicurezza, organizzazioni militari e governative, come riportato da Symantec in un nuovo rapporto.
Dettagli degli attacchi
“In alcuni casi, il gruppo russo è riuscito a organizzare intrusioni di lunga durata, durate fino a tre mesi”, ha affermato l’azienda di cybersecurity. “Gli aggressori hanno ripetutamente tentato di accedere e rubare informazioni sensibili come rapporti sulla morte di membri del servizio ucraino, rapporti da scontri nemici e attacchi aerei, rapporti sull’inventario dell’arsenale, rapporti di addestramento e altro ancora.”
Tecniche di attacco
Le attività di spionaggio cibernetico consistono in campagne di spear-phishing progettate per indurre le vittime ad aprire allegati trappola, che alla fine portano al dispiegamento di ladri di informazioni come Giddome, Pterodo, GammaLoad e GammaSteel sugli host infetti. Gli attori della minaccia sono stati osservati utilizzando un nuovo script PowerShell per propagare il backdoor Pterodo tramite unità USB.
Evoluzione delle tattiche
Le scoperte sono un’ulteriore indicazione della continua dipendenza di Shuckworm da infrastrutture di breve durata e della sua continua evoluzione di tattiche e strumenti per stare avanti sulla curva di rilevamento. “Questa attività dimostra che l’attenzione incessante di Shuckworm sull’Ucraina continua”, ha affermato Symantec. “Sembra chiaro che i gruppi di attacco sostenuti dallo stato-nazione russo continuano a puntare sui bersagli ucraini nel tentativo di trovare dati che potrebbero potenzialmente aiutare le loro operazioni militari.”