Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

Gamaredon: cuando los estados nacionales no pagan todas las facturas

Escrito por: Por Warren Mercer y Vitor Ventura (Blog Cisco Talos)



  • Gamaredon es un actor de amenazas, activo desde al menos 2013, que se ha asociado durante mucho tiempo con actividades prorrusas en varios informes a lo largo de los años. Es extremadamente agresivo y generalmente no se asocia con campañas de alta visibilidad, Cisco Talos lo ve increíblemente activo y creemos que el grupo está a la par con algunas de las bandas de cibercrimen más prolíficas.

  • Se ha considerado una APT durante mucho tiempo, sin embargo, sus características no coinciden con la definición común de una APT. Deberíamos considerar la posibilidad de que esto no sea una APT en absoluto, sino que sea un grupo que brinda servicios para otras APT, mientras realiza sus propios ataques en otras regiones / victimología.

  • Contrariamente al método de operación habitual de APT, Gamaredon no tiene una victimología enfocada y se dirige a usuarios de todo el mundo.

  • Este grupo está dirigido a todos, desde bancos en África hasta instituciones educativas en los EE. UU.

  • El actor no es tan sigiloso como otros actores importantes de APT y, en cambio, actúa más como una banda de crimeware.


¿QUÉ HAY DE NUEVO?

Gamaredon ha sido expuesto varias veces en múltiples informes de inteligencia de amenazas, sin efectos significativos en sus operaciones. Sus actividades de recopilación de información casi se pueden clasificar como APT de segundo nivel, cuyo objetivo principal es recopilar información y compartirla con sus unidades, quienes eventualmente usarán esa información para lograr el objetivo final.


¿CÓMO FUNCIONÓ?

El actor usa tácticas comunes del mundo del crimeware, como instaladores de aplicaciones troyanizadas, archivos autoextraíbles con nombres e íconos comunes y correos electrónicos no deseados con cargas útiles maliciosas, a veces incluso mediante la inyección de plantillas. Para un APT, este actor es extremadamente ruidoso con una infraestructura que va muy por encima de 600 dominios activos para el comando y control de la primera etapa (C2). Esta primera etapa C2 es responsable de la entrega de la segunda etapa y la actualización de la primera etapa, que también puede actualizar la segunda etapa si es necesario. Por oposición, la segunda etapa parece entregarse con un criterio detallado, en lugar de enviarlo a todos los objetivos.


¿ASÍ QUE LO QUE?


Las organizaciones deben comprender los actores de amenazas a los que es más probable que se dirijan. La clasificación de los actores de la amenaza se vuelve importante para optimizar los limitados recursos defensivos disponibles. Los grupos de APT a menudo se asocian con actividades enfocadas y de alto impacto con huellas extremadamente pequeñas que conducen a una actividad extremadamente sigilosa que es difícil de detectar. Sin embargo, Gamaredon es lo opuesto a eso, aunque todavía se considera un actor de APT. Nuestro objetivo es ayudar a las organizaciones a comprender cómo encaja Gamaredon en el panorama más amplio de la ciberseguridad. En lugar de hacer un informe completo sobre Gamaredon, centramos nuestra atención en cuatro campañas que comenzaron en 2020 y aún están activas hoy.


VISIÓN GENERAL


El grupo APT Gamaredon es uno de los actores más activos y sin inmutarse en el panorama de las amenazas. Gamaredon rompe el molde APT: utilizan una huella bastante grande en sus campañas con una gran cantidad de dominios utilizados. Esto es similar a los TTP que normalmente se asocian con los grupos de crimeware que no suelen superponerse con los APT. Su actividad ha sido documentada varias veces a lo largo de los años, pero el grupo continuó implacablemente con sus actividades sin mostrar signos de desaceleración u operaciones encubiertas. Este grupo controla más de 600 dominios, que implementan en varios puntos de la cronología de la infección. No es frecuente que veamos un grupo de APT con una infraestructura tan grande que haya estado activo durante tanto tiempo. Un ejemplo similar, pero más pequeño, podría ser el grupo Promethium .


Este nivel de actividad es excesivamente ruidoso para un actor de APT. Gamaredon carece de la fluidez y las técnicas elocuentes que vemos en algunas de las operaciones más avanzadas. Tampoco hay indicios de que el grupo se beneficie de la información de sus víctimas, lo que las diferencia de los equipos de crimeware habituales que monetizan toda la información de diferentes formas. Esto no significa que Gamaredon, como APT, deba considerarse una amenaza menor. Esto debe verse como una expansión de sus actividades a una victimología más amplia, aumentando la probabilidad de que una organización sea un objetivo.


La actividad de este grupo coincide con las actividades de los ladrones de información habituales en la escena del software criminal que roban información y luego la venden a otros actores de amenazas: actores APT de segundo nivel que pasan información crítica a otros equipos de primer nivel dentro de su unidad operativa. . La otra posibilidad es que Gamaredon sea un "proveedor de servicios" que también realiza algunos trabajos secundarios, lo que explicaría por qué se han dirigido a un importante banco nacional de África Occidental.


Se trata de un grupo que, aunque es muy activo y ruidoso en algunas campañas, tiene especial cuidado para evitar determinadas víctimas. Algunas de sus campañas tienen una primera etapa simple, y la entrega de la segunda etapa parece ser examinada en función de la información recibida después del primer contacto.


Este no es un grupo que denote un alto nivel de experiencia técnica; sus primeras etapas parecen estar diseñadas para completar el trabajo rápidamente sin ocultar sus capacidades. Sin embargo, esto no debe tomarse como una falta de capacidad. Este grupo cuenta con una enorme infraestructura, más de 600 dominios activos vinculados a sus actividades. Gamaredon a menudo usa el lenguaje Windows Batch y / o Visual Basic Scripting (VBS) en su primera etapa. A veces, los archivos de la primera etapa son creados directamente por las macros de VisualBasic para Aplicaciones (VBA) incrustadas en los documentos maliciosos utilizados como vector inicial. Más adelante en esta publicación, repasaremos los detalles de algunas campañas pasadas de este actor durante los últimos dos años. Talos observó algunas campañas nuevas a partir de febrero de 2021 que muestran que este actor evoluciona en pequeñas formas, pero muy a menudo.


Leer el reporte completo: https://blog.talosintelligence.com/2021/02/gamaredonactivities.html