Un subgrupo dentro del infame grupo de piratería patrocinado por el estado ruso conocido como Gusano de arena se ha atribuido a una operación de acceso inicial de varios años denominado Badpilot que se extendió en todo el mundo.
«Este subgrupo ha realizado compromisos a nivel mundial de infraestructura orientada a Internet para permitir que Seashell Blizzard persista en objetivos de alto valor y admite operaciones de red personalizadas», dijo el equipo de inteligencia de amenazas de Microsoft en un nuevo informe compartido con las noticias de los piratas informáticos antes de la publicación.
La propagación geográfica de los objetivos del subgrupo de acceso inicial incluye toda América del Norte, varios países de Europa, así como otros, incluidos Angola, Argentina, Australia, China, Egipto, India, Kazajstán, Myanmar, Nigeria, Pakistán, Turquía y Uzbekistán.
El desarrollo marca una expansión significativa de la huella de la victimología del grupo de piratería en los últimos tres años, que también se sabe que se concentra en Europa del Este,
- 2022: Sectores de energía, minorista, educación, consultoría y agricultura en Ucrania
- 2023: sectores en los Estados Unidos, Europa, Asia Central y Medio Oriente que proporcionaron apoyo material a la guerra en Ucrania o fueron geopolíticamente significativos
- 2024: Entidades en los Estados Unidos, Canadá, Australia y el Reino Unido
Sandworm es rastreado por Microsoft bajo el apodo Seashell Blizzard (anteriormente Iridium), y por la comunidad de seguridad cibernética más amplia bajo los nombres APT44, Blue Echidna, Tornado FrozenBarents, Tornado gris, Iron Viking, Razing Ursa, Telebots, UaC-0002 y Voodoo Bear. Activo desde al menos 2013, se evalúa que el grupo está afiliado a la Unidad 74455 dentro de la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU).
El colectivo adversario ha sido descrito por Mandiant, propiedad de Google, como un actor de amenaza «altamente adaptable» y «operativamente maduro» que se involucra en el espionaje, el ataque e influye en las operaciones. También tiene un historial de ataques disruptivos y destructivos contra Ucrania durante la última década.
Las campañas montadas por Sandworm a raíz de la Guerra Ruso-Ukrainiana han aprovechado los limpiaparabrisas de datos (Killdisk, también conocido como Hermeticwiper), pseudo-ransomware (Prestige, también conocido como Presstea) y Backpaless (Kapeka), además de las familias de malware que permiten a los actores de amenaza a mantener Acceso remoto persistente a hosts infectados a través de Darkcrystal Rat (también conocido como DCRAT).
También se ha observado depender de una variedad de empresas rusas y mercados criminales para obtener y mantener sus capacidades ofensivas, destacando una tendencia creciente de delito cibernético que facilita la piratería respaldada por el estado.
«El grupo ha utilizado herramientas e infraestructura de origen penal como fuente de capacidades desechables que pueden operacionalizarse a corto plazo sin enlaces inmediatos a sus operaciones pasadas», dijo el Grupo de Inteligencia de Amenazos de Google (GTIG) en un análisis.
«Desde la invasión a gran escala de Rusia de Ucrania, APT44 ha aumentado el uso de tales herramientas, incluido el malware como Darkcrystal Rat (DCRAT), Warzone y Radthief (‘Rhadamanthys Stealer’) e infraestructura de alojamiento a prueba de balas como la que proporciona la proporcionada por el El actor de habla rusa ‘Yalishanda’, que anuncia en comunidades subterráneas cibercriminales «.
Microsoft dijo que el subgrupo de lombrices de arena ha estado operativo desde al menos finales de 2021, explotando varios defectos de seguridad conocidos para obtener acceso inicial, seguido de una serie de acciones posteriores a la explotación destinadas a recopilar credenciales, lograr la ejecución de comandos y apoyar el movimiento lateral.
«Las operaciones observadas después del acceso inicial indican que esta campaña permitió a Seashell Blizzard obtener acceso a objetivos globales en sectores sensibles, incluidos energía, petróleo y gas, telecomunicaciones, envío, fabricación de armas, además de los gobiernos internacionales», señaló el gigante tecnológico.
«Este subgrupo ha sido habilitado por una capacidad escalable horizontalmente reforzada por hazañas publicadas que permitieron a Seashell Blizzard descubrir y comprometer numerosos sistemas orientados a Internet en una amplia gama de regiones y sectores geográficos».
Desde principios del año pasado, se dice que el sub-clúster ha armado vulnerabilidades en la pantalla de pantalla conectada (CVE-2024-1709) y Fortinet Forticlient EMS (CVE-2023-48788) para infiltrarse en objetivos en el Reino Unido y los Estados Unidos.
Los ataques llevados a cabo por el subgrupo implican una combinación de ataques oportunistas de «rociar y rezar» e intrusiones específicas que están diseñadas para mantener el acceso indiscriminado y realizar acciones de seguimiento para expandir el acceso a la red u obtener información confidencial.
Se cree que la amplia gama de compromisos ofrece a Seashell Blizzard una forma de cumplir con los objetivos estratégicos en constante evolución de Kremlin, lo que permite que el atuendo de piratería escala horizontalmente sus operaciones en diversos sectores a medida que se revelan los nuevos expectativas.
Hasta la fecha, hasta ocho vulnerabilidades de seguridad conocidas diferentes han sido explotadas por el subgrupo hasta la fecha,
El actor de amenaza que establece la persistencia a través de tres métodos diferentes, lo sucede exitoso.
- 24 de febrero de 2024 – presente: Despliegue de software de acceso remoto legítimo, como Atera Agent y Splashtop Remote Services, en algunos casos que abusan del acceso a descargar cargas útiles adicionales para la adquisición de credenciales, la exfiltración de datos y otras herramientas para mantener el acceso como OpenSSH y una utilidad a medida doblada SHADOWNINK Se puede acceder al sistema a través de la red de anonimato
- Finales de 2021 – presente: Despliegue de un shell web llamado localolive que permite comando y control y sirve como conducto para más cargas útiles, como utilidades de túneles (por ejemplo, cincel, plink y rsockstun)
- Finales de 2021 – 2024: Modificaciones maliciosas a las páginas de inicio de sesión de Acceso web de Outlook (OWA) para inyectar el código de JavaScript que pueda cosechar y exfiltrar las credenciales al actor de amenazas en tiempo real, y alterar las configuraciones de registro A del DNS probablemente en un esfuerzo por interceptar las credenciales de la autenticación crítica servicios
«Este subgrupo, que se caracteriza dentro de la organización de Blizzard más amplia conhellhell por su alcance casi global, representa una expansión tanto en la orientación geográfica realizada por Seashell Blizzard como en el alcance de sus operaciones», dijo Microsoft.
«Al mismo tiempo, los métodos de acceso oportunistas y de largo alcance de Seashell Blizzard probablemente ofrecen oportunidades expansivas de Rusia para operaciones y actividades de nicho que continuarán siendo valiosos a mediano plazo».
El desarrollo se produce cuando la empresa holandesa de ciberseguridad ECLECTICIQ vinculó el grupo de lombrices de arena con otra campaña que aprovecha los activadores pirateados de Microsoft Key Management Service (KMS) y las actualizaciones falsas de Windows para ofrecer una nueva versión de BackerDer, un descargador basado en Go que es responsable de obtener y ejecutar un carga útil de la segunda etapa desde un servidor remoto.
La orden de fondo, según Mandiant, generalmente se entrega dentro de los archivos del instalador troyano y está codificado para ejecutar el ejecutable de configuración original. El objetivo final de la campaña es entregar Darkcrystal Rat.
«La gran dependencia de Ucrania en el software agrietado, incluso en las instituciones gubernamentales, crea una importante superficie de ataque», dijo la investigadora de seguridad Arda Büyükkaya. «Muchos usuarios, incluidas las empresas y las entidades críticas, han recurrido al software pirateado de fuentes no confiables, lo que brinda a adversarios como Sandworm (APT44) una mejor oportunidad para incrustar malware en programas ampliamente utilizados».
El análisis de infraestructura adicional ha descubierto un rdp trasero RDP con nombre en código Kalambur que está disfrazado de actualización de Windows, y que utiliza la red TOR para comando y control, así como para implementar OpenSSH y habilitar el acceso remoto a través del protocolo de escritorio remoto (RDP) en el puerto 3389.
«Al aprovechar el software troyanizado para infiltrarse en entornos ICS, Sandworm (APT44) continúa demostrando su objetivo estratégico de desestabilizar la infraestructura crítica de Ucrania en apoyo de las ambiciones geopolíticas rusas», dijo Büyükkaya.