Especialistas da Symantec relatam que o grupo de hackers Shuckworm (também conhecido como Armagedom, Gamaredon, Tilden de Ferro, Urso Primitivo, Tridente Ursa, UNC530, Linguado de inverno, e assim por diante) está atacando empresas ucranianas usando o backdoor Pterodo distribuído via drives USB.
Os principais alvos dos hackers são organizações importantes dos setores militar e de TI.
De acordo com os especialistas, em alguns casos, o grupo conseguiu organizar ataques de longo prazo que durou até três meses, que no final poderia dar aos invasores acesso a “quantidades significativas de informações confidenciais.”
Deixe-me lembrá-lo de que também informamos que TruqueBot Grupo de hackers ataca sistematicamente a Ucrânia, e também isso Microsoft Acusa a Rússia de ataques cibernéticos contra aliados da Ucrânia.
A mídia também escreveu que Sandworm tem como alvo a Ucrânia Industroyer2 Programas maliciosos.
Verme atividade em 2023 aumentou entre fevereiro e março 2023, e hackers continuaram presentes em algumas máquinas comprometidas até maio 2023.
Para lançar ataques, Shuckworm normalmente usa e-mails de phishing contendo anexos maliciosos disfarçados de .docx, .raro, .efeitos especiais, link, e arquivos hta. Tópicos como conflito armado, processo criminal, controle do crime, e a proteção infantil são frequentemente usadas como isca em e-mails para induzir os alvos a abrirem a própria mensagem e anexos maliciosos.
A nova campanha Shuckworm estreou um novo malware, que é um PowerShell script que distribui o Pterodo porta dos fundos. O script é ativado quando unidades USB infectadas são conectadas aos computadores de destino. Primeiro ele se copia para a máquina de destino para criar um arquivo de atalho rtf.lnk (video_porn.rtf.lnk, do_not_delete.rtf.lnk e evidência.rtf.lnk). Tais nomes são uma tentativa de induzir os alvos a abrirem arquivos para que o Pterodo possa se infiltrar em suas máquinas.
O script então examina todas as unidades conectadas ao computador de destino e se copia para todas as unidades removíveis conectadas para maior movimento lateral e na esperança de se infiltrar em dispositivos isolados que não estão intencionalmente conectados à Internet para evitar que sejam hackeados..
Para cobrir seus rastros, Shuckworm criou dezenas de variantes de malware (mais do que 25 Variantes de script do PowerShell entre janeiro e abril 2023), e está mudando rapidamente os endereços IP e a infraestrutura usada para controle e gerenciamento.
O grupo também usa serviços legítimos para gerenciar, Incluindo Telegrama e a Telégrafo plataforma, para evitar a detecção.
