Trident Ursa: Gamaredon, UAC-0010, Primitive Bear

Trident Ursa (también conocido como Gamaredon, UAC-0010, Primitive Bear, Shuckworm) , Ucrania y su dominio cibernético se han enfrentado a amenazas cada vez mayores de Rusia.

Trident Ursa es un grupo atribuido por el Servicio de Seguridad de Ucrania al Servicio de Seguridad Federal de Rusia.

A medida que el conflicto ha continuado sobre el terreno y en el ciberespacio, Trident Ursa ha estado operando como creador de acceso dedicado y recopilador de inteligencia.

Trident Ursa sigue siendo una de las APT más generalizadas, intrusivas, continuamente activas y centradas en Ucrania.

Dada la situación geopolítica actual y el enfoque objetivo específico de este grupo APT, los investigadores de la Unidad 42 continúan monitoreando activamente los indicadores de sus operaciones.

Al hacerlo, han mapeado más de 500 nuevos dominios, 200 muestras y otros indicadores de compromiso (IoC) utilizados en los últimos 10 meses que respaldan los diferentes propósitos de phishing y malware de Trident Ursa.

Proporcionamos esta actualización junto con IoC conocidos para resaltar y compartir nuestra comprensión general actual de las operaciones de Trident Ursa.

Al monitorear estos dominios, así como la inteligencia de código abierto, hemos identificado varios elementos importantes:

Un intento fallido de comprometer una gran empresa de refinación de petróleo dentro de una nación miembro de la OTAN el 30 de agosto.
Una persona que parece estar involucrada con Trident Ursa amenazó con dañar a un investigador de seguridad cibernética con sede en Ucrania inmediatamente después de la invasión inicial.
Múltiples cambios en sus tácticas, técnicas y procedimientos (TTPs).

Los clientes de Palo Alto Networks reciben protección contra los tipos de amenazas por productos que incluyen Cortex XDR , WildFire , filtrado de URL avanzado , prevención de amenazas avanzada y servicios de suscripción de seguridad DNS para el firewall de próxima generación .

Orientación más allá de Ucrania

Tradicionalmente, Trident Ursa se ha dirigido principalmente a entidades ucranianas con señuelos de idioma ucraniano.

Si bien este sigue siendo el escenario más común para este grupo, vimos algunos casos en los que usaban señuelos en inglés.

Evaluamos que estas muestras indican que Trident Ursa está intentando aumentar su recopilación de inteligencia y el acceso a la red contra los aliados de Ucrania y la OTAN.

En línea con estos esfuerzos para atacar a los gobiernos aliados, durante una revisión de sus IoC identificamos un intento fallido de comprometer una gran compañía de refinación de petróleo dentro de una nación miembro de la OTAN el 30 de agosto.

SHA256	Nombre del archivo
b1bc659006938eb5912832eb8412c609d2d875c001ab411d1b69d343515291b7	MilitaryassistanceofUkraine.htm
0b63f6e7621421de9968d46de243ef769a343b61597816615222387c45df80ae	Necessary_military_assistance.rar
303abc6d8ab41cb00e3e7a2165ecc1e7fb4377ba46a9f4213a05f764567182e5	Lista de cosas necesarias para la provisión de asistencia humanitaria militar a Ucrania.lnk (Nota: archivo incluido arriba . rar )

Tabla 1. Muestras del idioma inglés utilizadas por Trident Ursa.

Más allá de la piratería informática: amenazas abiertas para la comunidad de ciberseguridad

Una de las observaciones más sorprendentes fue cuando un individuo llamado Anton (en cirílico, Антон) que parecía estar relacionado con Trident Ursa amenazó a un pequeño grupo de investigadores de ciberseguridad en Twitter.

El mismo día que Rusia invadió Ucrania (24 de febrero de 2022).

Parece que Anton eligió a estos investigadores en función de sus tweets que destacaban los IoC de Trident Ursa en los días previos a la invasión.

Los primeros tweets (que se muestran en la Figura 1) provinieron de Anton (@Anton15001398) cuando la invasión estaba en marcha, al investigador de amenazas con sede en Ucrania Mikhail Kasimov (@500mk500).

En varios tuits dijo: “corre, voy por ti”.

Probablemente pensó que sus primeros tweets a Kasimov eran demasiado imperceptibles, su último tweet incluía el hashtag #Gamaredon para que otros investigadores lo pudieran descubrir públicamente.

Más tarde ese mismo día, Anton usó una cuenta diferente (@YumHSh2UdIkz64w) para enviar a Shadow Chaser Group (@ShadowChasing1) y TI Research (@tiresearch1) el siniestro mensaje “seamos amigos. ¡No queremos pelear, pero lo hacemos bien!”. como se muestra en la Figura 2.

Figura 2. Advertencia de Shadow Chaser Group y TI Research.

Dos días después, el 26 de febrero, Anton envió su último y más amenazador tuit hasta el momento (Figura 3). En él, proporciona el nombre completo, la fecha de nacimiento y la dirección de Mikhail Kasimov junto con el mensaje: “Ya estamos en la ciudad, no hay a dónde correr. Tuviste una oportunidad.

Figura 3. Doxear y amenazar a Mikhail Kasimov (nombre completo, fecha de nacimiento y dirección redactados del tweet original).

Imaginamos que estas comunicaciones directas y amenazantes de este supuesto asociado de Trident Ursa fueron inquietantes para los destinatarios (especialmente Mikhail Kasimov, un investigador que opera desde dentro de la zona de guerra).

Para su crédito, los investigadores objetivo no se desanimaron y tuitearon más IoC de Trident Ursa durante las semanas posteriores a estas amenazas. Kasimov, junto con una gran cantidad de otros investigadores de todo el mundo, continúa publicando de forma rutinaria nuevos IoC para esta APT.

Trucos de DNS

Trident Ursa ha utilizado DNS de flujo rápido como una forma de aumentar la resiliencia de sus operaciones y dificultar el análisis de su infraestructura para los analistas de ciberseguridad.

La infraestructura que usa DNS de flujo rápido rota a través de muchas IP diariamente, y usa cada una por un corto tiempo para dificultar la lista de bloqueo basada en IP, los esfuerzos de eliminación y el análisis forense.

El uso de esta técnica es la razón principal por la que los investigadores de la Unidad 42 se centran en los dominios de Trident Ursa en lugar de sus direcciones IP.

Desde junio de 2022, vieron a Trident Ursa utilizar varias otras técnicas además del flujo rápido para mejorar su eficacia operativa.

Este actor de amenazas ha utilizado una serie de herramientas y servicios legítimos en sus operaciones.

Los actores de amenazas a menudo abusan, aprovechan o subvierten productos legítimos con fines maliciosos.

Esto no implica necesariamente una falla o calidad maliciosa del producto legítimo del que se está abusando.

Omitir DNS a través de servicios web legítimos

El primer ejemplo de técnicas adicionales que hemos observado utiliza servicios legítimos para consultar las asignaciones de IP en busca de dominios maliciosos.

Al usar estos servicios, Trident Ursa está eludiendo de manera efectiva el registro de DNS y DNS para los dominios maliciosos.

Por ejemplo, la muestra

SHA256 499b56f3809508fc3f06f0d342a330bcced94c040e84843784998f1112c78422 llama al servicio legítimo ip-api[.]com para obtener la IP asociada con josephine71.alabarda[.]ru a través de la siguiente URL:

hxxp://ip-api[.]com/csv/ josephine71.alabarda.ru .

Al momento de escribir esta publicación, este proceso devuelve lo siguiente:

El malware usa la IP devuelta a través de esta comunicación para comunicaciones de seguimiento con el dominio malicioso.

La única consulta de DNS que aparecería en el registro sería la solicitud original de ip-api[.]com .

Omitir DNS a través de un servicio de mensajería

En el segundo ejemplo, Trident Ursa usa el contenido de Telegram Messenger para buscar la última IP utilizada para comando y control (C2).

De esta manera, el actor intenta complementar el DNS para cuando los objetivos bloqueen con éxito los dominios maliciosos.

Por ejemplo, la muestra

SHA256 3e72981a45dc4bdaa178a3013710873ad90634729ffdd4b2c79c9a3a00f76f43 llama a hxxps://t[.]me/s/dracarc .

A partir del 18 de noviembre, esta cuenta (@dracarc) devolvió la publicación de Telegram ==104@248@36@191== .

Esto se convierte a IP 104.248.36[.]191 y se usa para comunicaciones de seguimiento.

Ocultar la asignación de IP verdadera a través de IP separadas para el dominio raíz y los subdominios

El 15 de noviembre, notamos que el dominio Trident Ursa niobioumo[.]ru fue asignado al Centro de Información de la Red del Departamento de Defensa de EE. UU. IP 147.159.180[.]73 .

Rápidamente identificaron que Trident Ursa no tenía control operativo ni uso de esa IP.

Trident Ursa había sembrado las tablas de DNS de flujo rápido para sus dominios raíz con direcciones IP “basura” en un intento de confundir a los investigadores y proteger su verdadera infraestructura operativa.

En lugar de usar dominios raíz, estaban usando subdominios para sus operaciones.

La verdadera IP operativa solo se puede encontrar consultando DNS en un subdominio.

En este caso (que se muestra en la Figura 4), la consulta sobre el sub dominio aaa.niobiumo[.]ru devolvió la IP operativa 64.227.67[.]175 .

Figura 4. Los servidores de nombres reg[.]ru envían una dirección falsa para el dominio y una dirección real para el subdominio (nota: búsqueda de DNS para aaa.niobium[.]ru a partir del 15 de noviembre).

Destacamos dos observaciones derivadas de nuestro análisis de la actividad DNS de Trident Ursa:

Para su infraestructura operativa fuera de Rusia, Trident Ursa se ha basado principalmente en proveedores de VPS ubicados dentro de uno de los dos sistemas autónomos (AS), AS14061 (DigitalOcean, LLC) y AS20473 (The Constant Company, LLC). Durante las últimas seis semanas, de las 122 direcciones IP que identificamos fuera de Rusia, el 63 % de ellas estaban dentro de AS14061 y el 29 % estaban dentro de AS20473. El resto estaba ubicado en varios AS propiedad de UAB Cherry Servers.
Más del 96% de los dominios de Trident Ursa continúan registrados y bajo el DNS de la empresa rusa reg[.]ru , empresa que, hasta la fecha, no ha tomado ninguna medida para bloquear o denegar esta infraestructura maliciosa.

Varios tipos de malware utilizados

En los últimos meses, Trident Ursa se ha basado en un par de tácticas diferentes para comprometer inicialmente los dispositivos de las víctimas utilizando VBScripts con nombres de variables generados aleatoriamente y concatenación de cadenas para ofuscación.

Cada una de estas tácticas se basa en última instancia en la entrega de contenido malicioso a través del phishing selectivo.

El primer método de entrega que veremos usa archivos .html y el segundo usa documentos de Word.

Phishing usando archivos HTML

Trident Ursa entrega un archivo .html como archivo adjunto a su correo electrónico de phishing o a través de un enlace al archivo .html (en un intento de eludir el análisis de amenazas de correo electrónico).

Usan direcciones URL aparentemente benignas como hxxp://state-cip[.]org/arhiv , como se muestra en la Figura 5.

Este sitio parece estar todavía activo al momento de escribir esta publicación.

Figura 5. Ejemplo de correo electrónico de phishing con enlace utilizado por Trident Ursa.

Estos archivos .html contienen archivos .rar codificados en Base64 que, a su vez, contienen un archivo .lnk malicioso.

Una vez que un usuario hace clic en estos archivos .lnk , utiliza la aplicación HTML de Microsoft ( mshta.exe ) para descargar archivos adicionales a través de la URL, como se muestra en la Figura 6.

Figura 6. Ruta de explotación para phishing usando archivos .lnk maliciosos.

Analizando el archivo .lnk reciente

SHA256 0d51b90457c85a0baa6304e1ffef2c3ea5dab3b9d27099551eef60389a34a89b , vemos que el archivo tiene 99,8 KB, que es aproximadamente 98 KB más grande que su archivo .lnk promedio.

Según nuestra revisión de estos archivos .lnk más grandes de lo esperado utilizados por Trident Ursa, el archivo contiene cadenas aleatorias de 10 caracteres que evaluamos se agregaron durante el proceso de creación.

Se utilizan para confundir el análisis y no tienen ningún propósito que podamos identificar para las operaciones de Trident Ursa.

Una vez abierto, este . El acceso directo de lnk usa mshta.exe para comunicarse con hxxps://admou[.]org/29.11_mou/presented.rtf a través de un argumento de línea de comando.

Trident Ursa parece estar utilizando varias técnicas para limitar quién puede acceder a esta URL.

Como han destacado otros investigadores, Trident Ursa parece estar utilizando bloqueos geográficos para limitar las descargas de este archivo a ubicaciones geográficas específicas.

En este caso, evaluamos que la posibilidad de descargar el archivo present.rtf a través de esta URL se limita a Ucrania. Hay algunas excepciones a esto, sin embargo.

Parece que estos actores de amenazas actualmente están tratando de obstaculizar a los investigadores de amenazas bloqueando los nodos ExpressVPN y NordVPN dentro de Ucrania.

Además, parece que el actor está potencialmente realizando un filtrado adicional para controlar aún más el acceso a las cargas útiles.

Por ejemplo, VirusTotal recibe un código de estado HTTP de 200, lo que indica éxito al solicitar la URL anterior, pero la longitud total del contenido de la respuesta es de 0 bytes.

Si se cumplen las condiciones de filtrado específicas, el objetivo descarga el archivo .rtf (SHA256 3990c6e9522e11b30354090cd919258aabef599de26fc4177397b59abaf395c3 ) al abrir el .lnk .

El archivo presentado.rtf es en realidad un archivo HTA que contiene código VBScript.

Este archivo HTA decodifica dos VBScripts codificados en Base64 incrustados, uno de los cuales se guardará en %USERPROFILE%\josephine y el otro se ejecutará mediante Execute.

El VBScript decodificado y ejecutado por el archivo.rtf presentado es responsable de agregar persistencia al ejecutar el VBScript guardado en el archivo josephine cada vez que el usuario inicia sesión.

El archivo VBScript guardado en josephine es la carga útil al final de este proceso de instalación.

El primer VBScript responsable de habilitar el acceso persistente al sistema lo hace mediante la creación de una tarea programada de Windows y una clave de registro, las cuales son técnicas comunes de Trident Ursa.

Este script crea una nueva tarea programada llamada Filmora.

Complete que ejecuta el script josephine cada cinco minutos, como se muestra en la información de la tarea programada que se muestra en la Figura 7.

Figura 7. Tarea programada Filmora.Complete utilizada para ejecutar la carga útil cada cinco minutos.

La secuencia de comandos también crea una clave de registro de ejecución automática para ejecutar automáticamente josephine VBScript cuando el usuario inicia sesión.

La figura 8 muestra la clave de registro de ejecución automática llamada telemetry agregada al sistema para ejecutar VBScript cuando el usuario inicia sesión.

Figura 8. Clave de registro de ejecución automática utilizada para ejecutar VBScript en el inicio de sesión del usuario.

El script josephine actúa como el código funcional de la puerta trasera, lo que permite a los actores de amenazas ejecutar código VBScript adicional proporcionado por un servidor C2.

El script contiene dos métodos diferentes para determinar la dirección IP de su servidor C2, con el que se comunica directamente.

El primer método consiste en hacer ping al dominio ENTONCES<número aleatorio>.ua-cip[.]org mediante la siguiente consulta del Instrumental de administración de Windows (WMI) y verificar el valor de ProtocolAddress para determinar la dirección IP de C2:

Si el script no puede llegar a este dominio, intenta acceder a la URL de Telegram

hxxps://t[.]me/s/vzloms para obtener la dirección IP de C2.

Lo hace comprobando la respuesta mediante una expresión regular de ==([0-9\@]+)== .

Después de obtener la dirección IP de C2, este script se comunicará con su C2 mediante la emisión de una solicitud HTTP GET personalizada, como se ve en la Figura 9.

Los campos personalizados modificados en la solicitud HTTP incluyen un agente de usuario codificado con el nombre de la computadora, número de serie del volumen número y la cadena ::/.josephine/. adjunto, así como una cadena codificada utilizada en el campo Aceptar idioma.

Figura 9. Solicitud HTTP enviada al servidor C2.

El script josephine lee las respuestas a esta solicitud HTTP, descodifica los datos Base64 dentro de la respuesta y los ejecuta como un VBScript. No hemos observado un servidor C2 activo que proporcione VBScripts en respuesta a las solicitudes HTTP del script josephine .

Phishing usando documentos de Word

Los últimos documentos de phishing que hemos visto que usa Trident Ursa tienen bajas tasas de detección en VirusTotal, probablemente debido a su simplicidad.

Por ejemplo,

SHA256 c22b20cee83b0802792a683ea7af86230288837bb3857c02e242fb6769fa8b0c muestra 0/61 detecciones al 8 de diciembre de 2022.

Figura 10. Detecciones de VirusTotal para c22b20cee83b0802792a683ea7af86230288837bb3857c02e242fb6769fa8b0c .

Este archivo se relaciona con una supuesta licitación para comprar equipos informáticos para la Academia Nacional del Servicio de Seguridad de Ucrania.

El archivo no contiene ningún código malicioso en sí mismo. Cuando se abre, el archivo intenta contactar y descargar su plantilla remota desde:

hxxp://relax.salary48.minhizo[.]ru/MAIL/gloomily/along.rcs .

Esta plantilla, Along.rcs

(SHA256: 007483ad49d90ac2cabe907eb5b3d7eef6a5473217c83b0fe99d087ee7b3f6b3 )

es un archivo de vinculación e incrustación de objetos (OLE) que contiene una macro que ejecuta el código malicioso.

La macro en sí se parece al código VBScript dentro del archivo HTA mencionado anteriormente, que se usa para cargar scripts adicionales.

La instalación de VBScript guarda la carga útil VBScrip en

%USERPROFILE%\Downloads\frontier\decisive

Creando una tarea programada denominada GetSynchronization-USA para ejecutar automáticamente esta carga útil cada cinco minutos.

El payload VBScript es el mismo que el payload anterior. Intenta obtener la dirección IP de C2 a través de un ping a <número aleatorio>decisive.hungzo[.]ru y una expresión regular en la respuesta de una URL específica de Telegram, hxxps://t[.]me/s/templ36 .

Una vez que tiene la dirección IP, el script crea una solicitud HTTP GET a hxxp://<dirección IP de C2>/snhale<número aleatorio>/index.html=?<número aleatorio> con campos HTTP personalizados que completa con lo siguiente actividades:

Agregar el nombre de la computadora y el número de serie del volumen en el campo de agente de usuario personalizado (Windows nt 6.1; win64; x64) applewebkit/537.36 (khtml, like gecko) chrome/90.0.4430.85 safari/537.36 , junto con la cadena estática ;; /.insuficiente/ .
Usando frameS5V como el valor de la cookie
Configuración del referente en hxxps://developer.mozilla[.]org/en-US/docs/Web/JavaScript
Configuración de Accept-Language en r u-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Configuración de Content-Length en 4649

Por último, el script codificará en Base64 la respuesta a esta URL e intentará ejecutarla.

Cuentagotas vistos recientemente

En los últimos tres meses, hemos visto a Trident Ursa usar dos goteros diferentes, pero muy similares. El primer cuentagotas, generalmente llamado 7ZSfxMod_x86.exe , es la técnica tradicional de archivo autoextraíble (SFX) de 7-Zip que el actor ha utilizado durante años.

En estos archivos SFX, el script de configuración de la instalación ejecuta un VBScript incrustado mediante Windows Script Host ( wscript.exe ). El segundo cuentagotas, generalmente llamado myfile.exe de acuerdo con el recurso RT_VERSION del ejecutable , es efectivamente un cargador que descarga dos archivos y eventualmente los ejecuta como VBScript usando wscript.

7ZSfxMod_x86.exe

Una muestra reciente (SHA256 ac1f3a43447591c67159528d9c4245ce0b93b129845bed9597d1f39f68dbd72f ) ejecuta el siguiente script de instalación cuando se abre:

Junto con el script de instalación, el archivo contiene un VBScript denominado 19698.mov

(SHA256: f488bd406f1293f7881dd0ade8d08f2b1358ddaf7c4af4d27d95f6f047339b3a ) al que se hace referencia en el script de instalación.

Similar a los ejemplos anteriores, VBScript probará dos métodos diferentes para obtener su ubicación C2.

Primero, el script ejecuta una consulta WMI para hacer ping al dominio C2 <número aleatorio>delirium.sohrabt[.]ru .

Si esto falla, también incluye una segunda rutina de ubicación C2 que llegará a una página de Telegram en hxxps://t[.]me/s/vbs_run14 . Luego usa una expresión regular de ==([0-9\@]+)== para encontrar una dirección IP dentro de la respuesta.

El script reemplaza los caracteres ” @ ” con un “.” dentro de la coincidencia de la expresión regular para crear una dirección IPV4 en notación de puntos, y escribe la dirección IP resultante en el archivo %TEMP%\prDK6 .

Agregar el nombre de la computadora y el número de serie del volumen en el campo de agente de usuario personalizado, mozilla/5.0 (windows nt 6.1; win64; x64) applewebkit/537.36 (khtml, como gecko) chrome/86.0.4240.193 safari/537.36 , junto con la estática cadena ;;/.snventor/.
Usando defectuoso como el valor de la cookie
Configuración del referente a hxxps://www.unn.com[.]ua/ru/
Configurando Accept-Language en ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Establecer la longitud del contenido en 2031

El script, como el mencionado anteriormente, lee la respuesta a esta baliza, decodifica los datos Base64 dentro de la respuesta y ejecuta el resultado como un VBScript usando el método Execute.

Este script también tiene una URL de respaldo que usará si recibe un estado de respuesta HTTP que no sea 200 o 404, específicamente

hxxp://<dirección IP de C2>/snquiries<número aleatorio>/index.html=?<número aleatorio > .

miarchivo.exe

Una muestra reciente

(SHA256: a79704074516589c8a6a20abd6a8bcbbcc5a39a5ddbca714fbbf5346d7035f42 )

funciona como un cargador que suelta dos archivos y finalmente los ejecuta como VBScripts usando la aplicación wscript.

Primero, el ejecutable lee sus propios datos de archivo y salta al final del archivo Portable Executable (PE) para acceder a los datos superpuestos que se agregaron al ejecutable.

Luego, el ejecutable descifra los datos superpuestos al revés usando XOR en cada byte con el byte que lo precede. Con estos datos, el ejecutable escribe el texto no cifrado en las siguientes ubicaciones:

C:\Usuarios\<nombre de usuario>\nutfgqsjs.fjyc
C:\Usuarios\<nombre de usuario>\16403.dll

El binario concatena algunas cadenas al contenido escrito en nutfgqsjs.fjyc antes de escribir este archivo en el disco, específicamente líneas de código VBScript para eliminar el ejecutable inicial y los dos archivos VBScript.

El ejecutable concluye ejecutando el script nutfgqsjs.fjyc llamando a CreateProcessA usando la siguiente línea de comando:

El archivo nutfgqsjs.fjyc es un archivo VBScript que contiene una cantidad significativa de comentarios destinados a ocultar el código real. Este script incluye el siguiente código funcional que ejecuta el VBScript 16403.dll :

El archivo 16403.dll es otro VBScript con el código funcional que decodifica otro VBScript y lo ejecuta. Después de varias capas de decodificación y reemplazo de texto, finalmente se ejecuta el último VBScript.

Este VBScript final usa las mismas técnicas descritas en las descripciones anteriores de .lnk y 7ZSfxMod_x86.exe .

Primero, el script ejecuta una consulta WMI para hacer ping al dominio C2 morbuso[.]ru . Si esto falla, también incluye una segunda rutina de ubicación C2 que llegará a una página de Telegram, específicamente hxxps://t[.]me/s/dracarc . A partir del 18 de noviembre, esta cuenta (@dracarc) devolvió lo siguiente, ==104@248@36@191== . Usando la expresión regular de ==([0-9\@]+)== esto se convierte a IP 104.248.36[.]191 y se usa para comunicaciones de seguimiento.

Luego, el script crea una solicitud HTTP GET para hxxp://<IPV4>/justly/CRONOS.icn?=Chr con campos HTTP personalizados que completa con las siguientes actividades:

Agregando el nombre de la computadora y el número de serie del volumen en el campo de agente de usuario personalizado, mozilla/5.0 ( macintosh ; intel mac os x 10_15_3 ) applewebkit/605.1.15 ( khtml , como gecko ) version/13.0.5 safari/605.1.15; ; junto con la cadena estática ;;/.justice/ .
Usando celos como el valor de la cookie
No establece Referrer en esta instancia
Configurando Accept-Language en ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Configuración de Content-Length en 5537

Por último, el script codificará en Base64 la respuesta a esta URL e intentará ejecutarla.

Conclusión

Trident Ursa sigue siendo una APT ágil y adaptable que no utiliza técnicas demasiado sofisticadas o complejas en sus operaciones.

En la mayoría de los casos, se basan en herramientas y secuencias de comandos disponibles públicamente, junto con una cantidad significativa de ofuscación, así como en intentos de phishing de rutina para ejecutar con éxito sus operaciones.

Las operaciones de este grupo son captadas regularmente por investigadores y organizaciones gubernamentales y, sin embargo, no parece importarles.

Simplemente agregan ofuscación adicional, nuevos dominios y nuevas técnicas y vuelven a intentarlo, a menudo incluso reutilizando muestras anteriores.

Operando continuamente de esta manera desde al menos 2014 sin signos de desaceleración durante este período de conflicto, Trident Ursa continúa teniendo éxito. Por todas estas razones, siguen siendo una amenaza importante para Ucrania, de la que Ucrania y sus aliados deben defenderse activamente.

Protecciones y Mitigaciones

La mejor defensa contra Trident Ursa es una postura de seguridad que favorezca la prevención.

Recomendamos que las organizaciones implementen las siguientes medidas:

Busque en los registros de red y endpoint cualquier evidencia de los indicadores de compromiso asociados con este grupo de amenazas.
Asegúrese de que las soluciones de ciberseguridad se bloqueen de manera efectiva contra los IoC de la infraestructura activa .
Implemente una solución de seguridad de DNS para detectar y mitigar las solicitudes de DNS para la infraestructura C2 conocida. Además, si una organización no tiene un caso de uso específico para servicios como Telegram Messaging y herramientas de búsqueda de dominios dentro de su entorno empresarial, agregue estos dominios a la lista de bloqueo de la organización o no los agregue a la lista de permitidos en el caso de Zero Redes de confianza.
Aplique un escrutinio adicional a todo el tráfico de red que se comunique con AS 197695 ( Reg[.]ru ).

Para los clientes de Palo Alto Networks, sus productos y servicios brindan la siguiente cobertura asociada con esta campaña:

Los clientes de Cortex XDR reciben protección en los terminales frente a las técnicas de malware descritas.
El servicio de análisis de amenazas basado en la nube de WildFire identifica con precisión el malware descrito en este blog como malicioso.
El filtrado de URL avanzado y la seguridad de DNS identifican todos los dominios de phishing y malware asociados con este grupo como maliciosos.
Los cortafuegos de próxima generación con una suscripción de seguridad de prevención de amenazas avanzada pueden bloquear los ataques con las mejores prácticas a través de la firma de prevención de amenazas 86694.

Palo Alto Networks ha compartido estos hallazgos, incluidas muestras de archivos e indicadores de compromiso, con el Equipo de Respuesta a Emergencias Informáticas de Ucrania , así como con los miembros de Cyber Threat Alliance .

Estas organizaciones utilizan esta inteligencia para implementar rápidamente protecciones para sus clientes y para interrumpir sistemáticamente a los actores cibernéticos maliciosos.

Indicadores de compromiso

Una lista de dominios, direcciones IP y hashes de malware está disponible en Unit 42 GitHub .

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

Lea más sobre ciberseguridad

Infraestructuras críticas son foco de ciberataques en 2022

Ciberamenazas: predicciones para los próximos 12 meses

Ciberseguridad 2023: perspectivas del editor

Godfather: el troyano bancario que cierra las amenazas 2022

Kaspersky: crecen de más de 230% los virus de criptominería

Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa,