La infraestructura de información crítica y las autoridades públicas de Ucrania han sido objeto de ataques cibernéticos dirigidos por la operación de ciberespionaje respaldada por el estado ruso Gamaredon utilizando las nuevas cepas de spyware GammaSteel y GammaLoad, según The Hacker News.
Gamaredon, también conocido como UAC-0010, Actinium, Iron Tilden, Armageddon, Shuckworm, Primitive Bear y Trident Ursa, ha estado empleando un enfoque de descarga de varios pasos para la ejecución de spyware, con el malware cuentagotas GammaLoad VBScript utilizado para habilitar la siguiente etapa. Las descargas de VBScript y el script GammaSteel PowerShell presentan capacidades de reconocimiento y ejecución de comandos adicionales, dijo el Centro Estatal de Protección Cibernética de Ucrania.
Las cadenas de ataque comienzan con correos electrónicos de spear-phishing que contienen un archivo RAR que, cuando se abre, activa una secuencia larga que consta de cinco etapas intermedias: un archivo LNK, un archivo HTA y tres archivos VBScript, que finalmente culminan en la entrega de una carga útil de PowerShell.
La información relacionada con la dirección IP de los servidores de comando y control (C2) se publica en los canales de Telegram que se rotan periódicamente, lo que corrobora un informe de BlackBerry a fines del mes pasado. Recuerda que no se debe confiar en todos los correos electronicos ya que no sabes quien los manda y ser cuidadosos seria lo mejor.