El actor de amenaza vinculado a Rusia conocido como Gamaredón (igualmente conocido como Shuckworm) se ha atribuido a un ataque cibernético dirigido a una encomienda marcial extranjera con sede en Ucrania con el objetivo de ofrecer una interpretación actualizada de un malware conocido llamado Gammteatel.
El comunidad apuntó a la encomienda marcial de un país occidental, según el equipo de cazadores de amenazas de Symantec, con los primeros signos de la actividad maliciosa detectada el 26 de febrero de 2025.
“El vector de infección original utilizado por los atacantes parece ocurrir sido un impulso removible infectado”, dijo la división de inteligencia de amenazas propiedad de Broadcom en un referencia compartido con The Hacker News.
El ataque comenzó con la creación de un valencia de registro de Windows bajo la tecla UserAssist, seguido por el extensión de “mshta.exe” utilizando “explorer.exe” para iniciar una sujeción de infección en varias etapas y iniciar dos archivos.
El primer archivo, llamado “ntuser.dat.tmcontainer0000000000000000000001.Rregtrans-MS”, se utiliza para establecer comunicaciones con un servidor de comando y control (C2) que se obtiene al asistir a URL específicas asociadas con servicios legítimos como teletipo, telegrama y telégrafo, entre otros.
El segundo archivo en cuestión, “ntuser.dat.tmcontainer0000000000000000000002.regtrans-ms”, está diseñado para infectar cualquier unidades y unidades de red extraíble mediante la creación de archivos de golpe directo para cada carpeta para ejecutar el comando zorro “mshta.exe” y ocultarlo.
Luego, el 1 de marzo de 2025, el script se ejecutó para contactar a un servidor C2, exfiltrate System Metadatos y admitir, a cambio, una carga útil codificada de Base64, que luego se utiliza para ejecutar un comando PowerShell diseñado para descargar una nueva interpretación ofuscada del mismo script.
El script, por su parte, se conecta a un servidor C2 codificado para obtener dos scripts más de PowerShell, el primero de los cuales es una utilidad de registro capaz de capturar capturas de pantalla, ejecutar el comando SystemInfo, obtener detalles del software de seguridad en ejecución en el host, archivos enumerados y carpetas en el escritorio, y enumerar la ejecución de procesos.
El segundo script de PowerShell es una interpretación mejorada de Gammteelel, un robador de información conocido que es capaz de exfiltrar archivos de una víctima basada en una relación de permiso de extensión desde el escritorio y las carpetas de documentos.
“Este ataque marca poco de un aumento en la sofisticación para Shuckworm, que parece ser menos hábil que otros actores rusos, aunque compensa esto con su enfoque implacable en los objetivos en Ucrania”, dijo Symantec.
“Si admisiblemente el comunidad no parece tener golpe al mismo conjunto de habilidades que otros grupos rusos, Shuckworm ahora parece estar tratando de compensar esto haciendo modificaciones menores al código que usa, agregando ofuscación y aprovechando los servicios web legítimos, todo para tratar de dominar el peligro de detección”.
