El actor de amenazas conocido como Gamaredón Se ha observado aprovechando Túneles de nube como táctica para ocultar su infraestructura de prueba que alberga un malware llamado GammaDrop.
La actividad forma parte de un proceso continuo campaña de phishing dirigido a entidades ucranianas desde al menos principios de 2024 y está diseñado para eliminar el malware Visual Basic Script, dijo Insikt Group de Recorded Future en un nuevo análisis.
La empresa de ciberseguridad está rastreando al actor de amenazas con el nombre de BlueAlpha, que también se conoce como Aqua Blizzard, Armageddon, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 y Winterflounder. El grupo, que se cree que está activo desde 2014, está asociado con el Servicio Federal de Seguridad de Rusia (FSB).
«BlueAlpha ha comenzado recientemente a utilizar Cloudflare Tunnels para ocultar la infraestructura de prueba utilizada por gota gammauna técnica cada vez más popular utilizada por grupos de amenazas cibercriminales para implementar malware», Insikt Group anotado.
«BlueAlpha continúa utilizando el sistema de nombres de dominio (DNS) de flujo rápido de la infraestructura de comando y control (C2) de GammaLoad para complicar el seguimiento y la interrupción de las comunicaciones C2 para preservar el acceso a los sistemas comprometidos».
El uso del túnel Cloudflare por parte del adversario fue previamente documentado por la empresa eslovaca de ciberseguridad ESET en septiembre de 2024, como parte de ataques dirigidos a Ucrania y varios países de la OTAN, a saber, Bulgaria, Letonia, Lituania y Polonia.
También caracterizó el oficio del actor de amenazas como imprudente y no particularmente centrado en el sigilo, a pesar de que se esfuerzan por «evitar ser bloqueados por productos de seguridad y se esfuerzan mucho por mantener el acceso a los sistemas comprometidos».
«Gamaredon intenta preservar su acceso implementando múltiples descargadores simples o puertas traseras simultáneamente», agregó ESET. «La falta de sofisticación de las herramientas de Gamaredon se compensa con actualizaciones frecuentes y el uso de ofuscaciones que cambian periódicamente».
Las herramientas están diseñadas principalmente para robar datos valiosos de aplicaciones web que se ejecutan en navegadores de Internet, clientes de correo electrónico y aplicaciones de mensajería instantánea como Signal y Telegram, así como descargar cargas útiles adicionales y propagar el malware a través de unidades USB conectadas.
- PteroPSLoad, PteroX, PteroSand, PteroDash, PteroRisk y PteroPowder: descargar cargas útiles
- PteroCDrop: soltar cargas útiles de Visual Basic Script
- PteroClone: entregue cargas útiles utilizando la utilidad rclone
- PteroLNK – Armar unidades USB conectadas
- PteroDig – Arma archivos LNK en la carpeta Escritorio para persistencia
- PteroSocks: proporciona funcionalidad de proxy SOCKS parcial
- PteroPShell, ReVBShell: funciona como un shell remoto
- PteroPSDoor, PteroVDoor: extrae archivos específicos del sistema de archivos
- PteroScreen: captura y extrae capturas de pantalla
- PteroSteal: extrae las credenciales almacenadas por los navegadores web
- PteroCookie: extrae las cookies almacenadas por los navegadores web
- PteroSig: extrae datos almacenados por la aplicación Signal
- PteroGram: extrae datos almacenados por la aplicación Telegram
- PteroBleed: extrae datos almacenados por versiones web de Telegram y WhatsApp de Google Chrome, Microsoft Edge y Opera
- PteroScout – Información del sistema de exfiltración
El último conjunto de ataques destacados por Recorded Future implica el envío de correos electrónicos de phishing con archivos adjuntos HTML, que aprovechan una técnica llamada contrabando de HTML para activar el proceso de infección a través de código JavaScript incrustado.
Los archivos adjuntos HTML, cuando se abren, sueltan un archivo 7-Zip («56-27-11875.rar») que incluye un archivo LNK malicioso, que utiliza mshta.exe para entregar GammaDrop, un gotero HTA responsable de escribir en el disco. un cargador personalizado llamado GammaLoad, que posteriormente establece contacto con un servidor C2 para recuperar malware adicional.
El artefacto GammaDrop se recupera de un servidor provisional que se encuentra detrás de un túnel de Cloudflare alojado en el dominio amsterdam-sheet-veteran-aka.trycloudflare.[.]com.
Por su parte, GammaLoad hace uso de DNS-over-HTTPS (Departamento de Salud) proveedores como Google y Cloudflare para resolver la infraestructura C2 cuando falla el DNS tradicional. También emplea una técnica DNS de flujo rápido para recuperar la dirección C2 si falla el primer intento de comunicarse con el servidor.
«Es probable que BlueAlpha continúe perfeccionando las técnicas de evasión aprovechando servicios legítimos y ampliamente utilizados como Cloudflare, complicando la detección de los sistemas de seguridad tradicionales», dijo Recorded Future.
«Las mejoras continuas en el contrabando de HTML y la persistencia basada en DNS probablemente plantearán desafíos en evolución, especialmente para las organizaciones con capacidades limitadas de detección de amenazas».