{"id":683,"date":"2022-12-29T14:44:57","date_gmt":"2022-12-29T17:44:57","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=683"},"modified":"2022-12-29T15:16:55","modified_gmt":"2022-12-29T18:16:55","slug":"trident-ursa-000000000000000000000000000001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/trident-ursa-000000000000000000000000000001\/","title":{"rendered":"Trident Ursa: Gamaredon, UAC-0010, Primitive Bear, Shuckworm"},"content":{"rendered":"<h2><strong>Trident Ursa (tambi\u00e9n conocido como Gamaredon, UAC-0010, Primitive Bear, Shuckworm)\u00a0, Ucrania y su dominio cibern\u00e9tico se han enfrentado a amenazas cada vez mayores de Rusia.\u00a0<\/strong><\/h2>\n<p style=\"text-align: justify;\">Trident Ursa es un grupo\u00a0<a href=\"https:\/\/ssu.gov.ua\/uploads\/files\/DKIB\/Technical%20report%20Armagedon.pdf\" target=\"_blank\" rel=\"noopener\">atribuido por el Servicio de Seguridad de Ucrania<\/a>\u00a0al Servicio de Seguridad Federal de Rusia.<\/p>\n<p style=\"text-align: justify;\">A medida que el conflicto ha continuado sobre el terreno y en el ciberespacio, Trident Ursa ha estado operando como creador de acceso dedicado y recopilador de inteligencia.<\/p>\n<p style=\"text-align: justify;\">Trident Ursa sigue siendo una de las APT m\u00e1s generalizadas, intrusivas, continuamente activas y centradas en Ucrania.<\/p>\n<figure class=\"mb-30 text-center\"><img loading=\"lazy\" decoding=\"async\" class=\"attachment-single aligncenter\" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/PA-Unit42-TAC-Trident-URSA_-Landscape.jpg\" alt=\"Una representaci\u00f3n pict\u00f3rica de Trident Ursa que muestra un oso morado y un tridente.\" width=\"400\" height=\"245\" title=\"\"><\/figure>\n<p style=\"text-align: justify;\">Dada la situaci\u00f3n geopol\u00edtica actual y el enfoque objetivo espec\u00edfico de este grupo APT, los investigadores de la Unidad 42 contin\u00faan monitoreando activamente los indicadores de sus operaciones.<\/p>\n<p style=\"text-align: justify;\">Al hacerlo, han mapeado m\u00e1s de 500 nuevos dominios, 200 muestras y otros indicadores de compromiso (IoC) utilizados en los \u00faltimos 10 meses que respaldan los diferentes prop\u00f3sitos de phishing y malware de Trident Ursa.<\/p>\n<p style=\"text-align: justify;\">Proporcionamos esta actualizaci\u00f3n junto con\u00a0<a href=\"https:\/\/github.com\/pan-unit42\/iocs\/blob\/master\/Gamaredon\/Gamaredon_IoCs_DEC2022.txt\" target=\"_blank\" rel=\"noopener\">IoC conocidos<\/a>\u00a0para resaltar y compartir nuestra comprensi\u00f3n general actual de las operaciones de Trident Ursa.<\/p>\n<p style=\"text-align: justify;\">Al monitorear estos dominios, as\u00ed como la inteligencia de c\u00f3digo abierto, hemos identificado varios elementos importantes:<\/p>\n<ul>\n<li style=\"text-align: justify;\">Un intento fallido de comprometer una gran empresa de refinaci\u00f3n de petr\u00f3leo dentro de una naci\u00f3n miembro de la OTAN el 30 de agosto.<\/li>\n<li style=\"text-align: justify;\">Una persona que parece estar involucrada con Trident Ursa amenaz\u00f3 con da\u00f1ar a un investigador de seguridad cibern\u00e9tica con sede en Ucrania inmediatamente despu\u00e9s de la invasi\u00f3n inicial.<\/li>\n<li style=\"text-align: justify;\">M\u00faltiples cambios en sus t\u00e1cticas, t\u00e9cnicas y procedimientos (TTPs).<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Los clientes de Palo Alto Networks reciben protecci\u00f3n contra los tipos de amenazas por productos que incluyen <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a>\u00a0,\u00a0<a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/wildfire\" target=\"_blank\" rel=\"noopener\">WildFire<\/a>\u00a0,\u00a0<a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">filtrado de URL<\/a>\u00a0avanzado ,\u00a0<a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-threat-prevention\" target=\"_blank\" rel=\"noopener\">prevenci\u00f3n de amenazas avanzada<\/a>\u00a0y servicios de\u00a0suscripci\u00f3n de\u00a0<a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/dns-security\" target=\"_blank\" rel=\"noopener\">seguridad DNS para el\u00a0<\/a><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/next-generation-firewall\" target=\"_blank\" rel=\"noopener\">firewall de pr\u00f3xima generaci\u00f3n<\/a>\u00a0.<\/p>\n<h3><strong>Orientaci\u00f3n m\u00e1s all\u00e1 de Ucrania<\/strong><\/h3>\n<p style=\"text-align: justify;\">Tradicionalmente, Trident Ursa se ha dirigido principalmente a entidades ucranianas con se\u00f1uelos de idioma ucraniano.<\/p>\n<p style=\"text-align: justify;\">Si bien este sigue siendo el escenario m\u00e1s com\u00fan para este grupo, vimos algunos casos en los que usaban se\u00f1uelos en ingl\u00e9s.<\/p>\n<p style=\"text-align: justify;\">Evaluamos que estas muestras indican que Trident Ursa est\u00e1 intentando aumentar su recopilaci\u00f3n de inteligencia y el acceso a la red contra los aliados de Ucrania y la OTAN.<\/p>\n<p style=\"text-align: justify;\">En l\u00ednea con estos esfuerzos para atacar a los gobiernos aliados, durante una revisi\u00f3n de sus IoC identificamos un intento fallido de comprometer una gran compa\u00f1\u00eda de refinaci\u00f3n de petr\u00f3leo dentro de una naci\u00f3n miembro de la OTAN el 30 de agosto.<\/p>\n<table>\n<tbody>\n<tr>\n<td><b>SHA256<\/b><\/td>\n<td><b>Nombre del archivo<\/b><\/td>\n<\/tr>\n<tr>\n<td>b1bc659006938eb5912832eb8412c609d2d875c001ab411d1b69d343515291b7<\/td>\n<td>MilitaryassistanceofUkraine.htm<\/td>\n<\/tr>\n<tr>\n<td>0b63f6e7621421de9968d46de243ef769a343b61597816615222387c45df80ae<\/td>\n<td>Necessary_military_assistance.rar<\/td>\n<\/tr>\n<tr>\n<td>303abc6d8ab41cb00e3e7a2165ecc1e7fb4377ba46a9f4213a05f764567182e5<\/td>\n<td>Lista de cosas necesarias para la provisi\u00f3n de asistencia humanitaria militar a Ucrania.lnk\u00a0(Nota: archivo incluido arriba\u00a0.\u00a0rar\u00a0)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><em>Tabla 1. Muestras del idioma ingl\u00e9s utilizadas por Trident Ursa.<\/em><\/p>\n<h3><strong>M\u00e1s all\u00e1 de la pirater\u00eda inform\u00e1tica: amenazas abiertas para la comunidad de ciberseguridad<\/strong><\/h3>\n<p style=\"text-align: justify;\">Una de las observaciones m\u00e1s sorprendentes fue cuando un individuo llamado Anton (en cir\u00edlico, \u0410\u043d\u0442\u043e\u043d) que parec\u00eda estar relacionado con Trident Ursa amenaz\u00f3 a un peque\u00f1o grupo de investigadores de ciberseguridad en Twitter.<\/p>\n<p style=\"text-align: justify;\">El mismo d\u00eda que Rusia invadi\u00f3 Ucrania (24 de febrero de 2022).<\/p>\n<p style=\"text-align: justify;\">Parece que Anton eligi\u00f3 a estos investigadores en funci\u00f3n de sus tweets que destacaban los IoC de Trident Ursa en los d\u00edas previos a la invasi\u00f3n.<\/p>\n<p style=\"text-align: justify;\">Los primeros tweets (que se muestran en la Figura 1) provinieron de Anton (@Anton15001398) cuando la invasi\u00f3n estaba en marcha, al investigador de amenazas con sede en Ucrania Mikhail Kasimov (@500mk500).<\/p>\n<p>En varios tuits dijo: \u201ccorre, voy por ti\u201d.<\/p>\n<p style=\"text-align: justify;\">Probablemente pens\u00f3 que sus primeros tweets a Kasimov eran demasiado imperceptibles, su \u00faltimo tweet inclu\u00eda el hashtag #Gamaredon para que otros investigadores lo pudieran descubrir p\u00fablicamente.<\/p>\n<figure id=\"attachment_126210\" class=\"wp-caption aligncenter\" style=\"width: 440px;\" aria-describedby=\"caption-attachment-126210\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-126210\" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/word-image-71.png\" alt=\"La imagen 1 es una serie de tres tuits realizados por el usuario de Twitter Anton15001398 dirigidos al investigador de amenazas con sede en Ucrania Mikhail Kasimov, cuya cuenta de Twitter es 500mk500. En los tuits, el actor usa el hashtag Gamaredon y le dice a Mikhail que \u201ccorre, voy por ti\u201d.\" width=\"440\" height=\"95\" title=\"\"><figcaption id=\"caption-attachment-126210\" class=\"wp-caption-text\">Figura 1. Amenazas a Mikhail Kasimov.<\/figcaption><\/figure>\n<p style=\"text-align: justify;\">M\u00e1s tarde ese mismo d\u00eda, Anton us\u00f3 una cuenta diferente (@YumHSh2UdIkz64w) para enviar a Shadow Chaser Group (@ShadowChasing1) y TI Research (@tiresearch1) el siniestro mensaje \u201cseamos amigos.\u00a0\u00a1No queremos pelear, pero lo hacemos bien!\u201d.\u00a0como se muestra en la Figura 2.<\/p>\n<figure id=\"attachment_126212\" class=\"wp-caption aligncenter\" style=\"width: 383px;\" aria-describedby=\"caption-attachment-126212\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-126212\" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/word-image-72.png\" alt=\"La imagen 2 es una captura de pantalla de un tweet realizado por el usuario de Twitter YumHSh2UdIkz64w que etiquet\u00f3 la cuenta de Twitter de Shadow Chaser Group ShadowChasing1) y la cuenta de Twitter de TI Research tiresearch1 con el mensaje \u201cseamos amigos. \u00a1No queremos pelear, pero lo hacemos bien!\u201d. Utiliza el hashtag Gamaredon.\" width=\"383\" height=\"244\" title=\"\"><figcaption id=\"caption-attachment-126212\" class=\"wp-caption-text\">Figura 2. Advertencia de Shadow Chaser Group y TI Research.<\/figcaption><\/figure>\n<p style=\"text-align: justify;\">Dos d\u00edas despu\u00e9s, el 26 de febrero, Anton envi\u00f3 su \u00faltimo y m\u00e1s amenazador tuit hasta el momento (Figura 3).\u00a0En \u00e9l, proporciona el nombre completo, la fecha de nacimiento y la direcci\u00f3n de Mikhail Kasimov junto con el mensaje: \u201cYa estamos en la ciudad, no hay a d\u00f3nde correr.\u00a0Tuviste una oportunidad.<\/p>\n<figure id=\"attachment_126214\" class=\"wp-caption aligncenter\" style=\"width: 402px;\" aria-describedby=\"caption-attachment-126214\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-126214\" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/word-image-73.png\" alt=\"La imagen 3 es una captura de pantalla de un tweet realizado por el usuario de Twitter YumHSh2UdIkz64w dirigido al investigador de amenazas con sede en Ucrania Mikhail Kasimov. Revela informaci\u00f3n personal que ha sido redactada en la captura de pantalla con el mensaje \u201cYa estamos en la ciudad, no hay ad\u00f3nde correr. Tuviste una oportunidad. Utiliza el hashtag Gamaredon.\" width=\"402\" height=\"214\" title=\"\"><figcaption id=\"caption-attachment-126214\" class=\"wp-caption-text\">Figura 3. Doxear y amenazar a Mikhail Kasimov (nombre completo, fecha de nacimiento y direcci\u00f3n redactados del tweet original).<\/figcaption><\/figure>\n<p style=\"text-align: justify;\">Imaginamos que estas comunicaciones directas y amenazantes de este supuesto asociado de Trident Ursa fueron inquietantes para los destinatarios (especialmente Mikhail Kasimov, un investigador que opera desde dentro de la zona de guerra).<\/p>\n<p style=\"text-align: justify;\">Para su cr\u00e9dito, los investigadores objetivo no se desanimaron y tuitearon m\u00e1s IoC de Trident Ursa durante las semanas posteriores a estas amenazas.\u00a0Kasimov, junto con una gran cantidad de otros investigadores de todo el mundo, contin\u00faa publicando de forma rutinaria nuevos IoC para esta APT.<\/p>\n<h3><strong>Trucos de DNS<\/strong><\/h3>\n<p style=\"text-align: justify;\">Trident Ursa ha utilizado\u00a0<a href=\"https:\/\/unit42.paloaltonetworks.com\/fast-flux-101\/\" target=\"_blank\" rel=\"noopener\">DNS de flujo r\u00e1pido<\/a>\u00a0como una forma de aumentar la resiliencia de sus operaciones y dificultar el an\u00e1lisis de su infraestructura para los analistas de ciberseguridad.<\/p>\n<p style=\"text-align: justify;\">La infraestructura que usa DNS de flujo r\u00e1pido rota a trav\u00e9s de muchas IP diariamente, y usa cada una por un corto tiempo para dificultar la lista de bloqueo basada en IP, los esfuerzos de eliminaci\u00f3n y el an\u00e1lisis forense.<\/p>\n<p style=\"text-align: justify;\">El uso de esta t\u00e9cnica es la raz\u00f3n principal por la que los investigadores de la Unidad 42 se centran en los dominios de Trident Ursa en lugar de sus direcciones IP.<\/p>\n<p style=\"text-align: justify;\">Desde junio de 2022, vieron a Trident Ursa utilizar varias otras t\u00e9cnicas adem\u00e1s del flujo r\u00e1pido para mejorar su eficacia operativa.<\/p>\n<p style=\"text-align: justify;\">Este actor de amenazas ha utilizado una serie de herramientas y servicios leg\u00edtimos en sus operaciones.<\/p>\n<p style=\"text-align: justify;\">Los actores de amenazas a menudo abusan, aprovechan o subvierten productos leg\u00edtimos con fines maliciosos.<\/p>\n<p style=\"text-align: justify;\">Esto no implica necesariamente una falla o calidad maliciosa del producto leg\u00edtimo del que se est\u00e1 abusando.<\/p>\n<h3><strong>Omitir DNS a trav\u00e9s de servicios web leg\u00edtimos<\/strong><\/h3>\n<p style=\"text-align: justify;\">El primer ejemplo de t\u00e9cnicas adicionales que hemos observado utiliza servicios leg\u00edtimos para consultar las asignaciones de IP en busca de dominios maliciosos.<\/p>\n<p style=\"text-align: justify;\">Al usar estos servicios, Trident Ursa est\u00e1 eludiendo de manera efectiva el registro de DNS y DNS para los dominios maliciosos.<\/p>\n<h3 style=\"text-align: left;\"><strong>Por ejemplo, la muestra <\/strong><\/h3>\n<p style=\"text-align: left;\">SHA256\u00a0499b56f3809508fc3f06f0d342a330bcced94c040e84843784998f1112c78422\u00a0llama al servicio leg\u00edtimo\u00a0ip-api[.]com\u00a0para obtener la IP asociada con\u00a0josephine71.alabarda[.]ru\u00a0a trav\u00e9s de la siguiente URL:<\/p>\n<p style=\"text-align: justify;\">hxxp:\/\/ip-api[.]com\/csv\/ josephine71.alabarda.ru\u00a0.<\/p>\n<p>Al momento de escribir esta publicaci\u00f3n, este proceso devuelve lo siguiente:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-126216\" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/word-image-74.png\" alt=\"La imagen 4 es una captura de pantalla de dos l\u00edneas de c\u00f3digo. Muestra el proceso de eludir el DNS y el registro de DNS.\" width=\"800\" height=\"39\" title=\"\"><\/p>\n<p>El malware usa la IP devuelta a trav\u00e9s de esta comunicaci\u00f3n para comunicaciones de seguimiento con el dominio malicioso.<\/p>\n<p>La \u00fanica consulta de DNS que aparecer\u00eda en el registro ser\u00eda la solicitud original de\u00a0ip-api[.]com\u00a0.<\/p>\n<h3><strong>Omitir DNS a trav\u00e9s de un servicio de mensajer\u00eda<\/strong><\/h3>\n<p style=\"text-align: justify;\">En el segundo ejemplo, Trident Ursa usa el contenido de Telegram Messenger para buscar la \u00faltima IP utilizada para comando y control (C2).<\/p>\n<p style=\"text-align: justify;\">De esta manera, el actor intenta complementar el DNS para cuando los objetivos bloqueen con \u00e9xito los dominios maliciosos.<\/p>\n<h3><strong>Por ejemplo, la muestra <\/strong><\/h3>\n<p>SHA256\u00a03e72981a45dc4bdaa178a3013710873ad90634729ffdd4b2c79c9a3a00f76f43\u00a0llama a\u00a0hxxps:\/\/t[.]me\/s\/dracarc\u00a0.<\/p>\n<p>A partir del 18 de noviembre, esta cuenta (@dracarc) devolvi\u00f3 la publicaci\u00f3n de Telegram\u00a0==104@248@36@191==\u00a0.<\/p>\n<p>Esto se convierte a IP\u00a0104.248.36[.]191\u00a0y se usa para comunicaciones de seguimiento.<\/p>\n<h3><strong>Ocultar la asignaci\u00f3n de IP verdadera a trav\u00e9s de IP separadas para el dominio ra\u00edz y los subdominios<\/strong><\/h3>\n<p>El 15 de noviembre, notamos que el dominio Trident Ursa\u00a0niobioumo[.]ru\u00a0fue asignado al Centro de Informaci\u00f3n de la Red del Departamento de Defensa de EE. UU. IP\u00a0147.159.180[.]73\u00a0.<\/p>\n<p>R\u00e1pidamente identificaron que Trident Ursa no ten\u00eda control operativo ni uso de esa IP.<\/p>\n<p style=\"text-align: justify;\">Trident Ursa hab\u00eda sembrado las tablas de DNS de flujo r\u00e1pido para sus dominios ra\u00edz con direcciones IP &#8220;basura&#8221; en un intento de confundir a los investigadores y proteger su verdadera infraestructura operativa.<\/p>\n<p style=\"text-align: justify;\">En lugar de usar dominios ra\u00edz, estaban usando subdominios para sus operaciones.<\/p>\n<p style=\"text-align: justify;\">La verdadera IP operativa solo se puede encontrar consultando DNS en un subdominio.<\/p>\n<p style=\"text-align: justify;\">En este caso (que se muestra en la Figura 4), la consulta sobre el sub dominio aaa.niobiumo[.]ru\u00a0devolvi\u00f3 la IP operativa\u00a064.227.67[.]175\u00a0.<\/p>\n<figure id=\"attachment_126218\" class=\"wp-caption aligncenter\" style=\"width: 397px;\" aria-describedby=\"caption-attachment-126218\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-126218\" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/word-image-75.png\" alt=\"La imagen 4 es una tabla con columnas que enumeran el nombre, la clase, el tipo, los datos y el tiempo de vida de los dominios, con los dominios enumerados en la columna &quot;nombre&quot;. Una flecha apunta a la IP operativa para el subdominio y otra flecha apunta a la IP del Departamento de Defensa asignada para el dominio ra\u00edz.\" width=\"397\" height=\"235\" title=\"\"><figcaption id=\"caption-attachment-126218\" class=\"wp-caption-text\">Figura 4. Los servidores de nombres\u00a0reg[.]ru\u00a0env\u00edan una direcci\u00f3n falsa para el dominio y una direcci\u00f3n real para el subdominio (nota: b\u00fasqueda de DNS para\u00a0aaa.niobium[.]ru\u00a0a partir del 15 de noviembre).<\/figcaption><\/figure>\n<p>Destacamos dos observaciones derivadas de nuestro an\u00e1lisis de la actividad DNS de Trident Ursa:<\/p>\n<ul>\n<li style=\"text-align: justify;\">Para su infraestructura operativa fuera de Rusia, Trident Ursa se ha basado principalmente en proveedores de VPS ubicados dentro de uno de los dos sistemas aut\u00f3nomos (AS), AS14061 (DigitalOcean, LLC) y AS20473 (The Constant Company, LLC).\u00a0Durante las \u00faltimas seis semanas, de las 122 direcciones IP que identificamos fuera de Rusia, el 63 % de ellas estaban dentro de AS14061 y el 29 % estaban dentro de AS20473.\u00a0El resto estaba ubicado en varios AS propiedad de UAB Cherry Servers.<\/li>\n<li style=\"text-align: justify;\">M\u00e1s del 96% de los dominios de Trident Ursa contin\u00faan registrados y bajo el DNS de la empresa rusa\u00a0reg[.]ru\u00a0, empresa que, hasta la fecha, no ha tomado ninguna medida para bloquear o denegar esta infraestructura maliciosa.<\/li>\n<\/ul>\n<h3><strong>Varios tipos de malware utilizados<\/strong><\/h3>\n<p style=\"text-align: justify;\">En los \u00faltimos meses, Trident Ursa se ha basado en un par de t\u00e1cticas diferentes para comprometer inicialmente los dispositivos de las v\u00edctimas utilizando VBScripts con nombres de variables generados aleatoriamente y concatenaci\u00f3n de cadenas para ofuscaci\u00f3n.<\/p>\n<p>Cada una de estas t\u00e1cticas se basa en \u00faltima instancia en la entrega de contenido malicioso a trav\u00e9s del phishing selectivo.<\/p>\n<p>El primer m\u00e9todo de entrega que veremos usa archivos\u00a0.html\u00a0y el segundo usa documentos de Word.<\/p>\n<h3><strong>Phishing usando archivos HTML<\/strong><\/h3>\n<p>Trident Ursa entrega un archivo\u00a0.html\u00a0como archivo adjunto a su correo electr\u00f3nico de phishing o a trav\u00e9s de un enlace al\u00a0archivo .html\u00a0(en un intento de eludir el an\u00e1lisis de amenazas de correo electr\u00f3nico).<\/p>\n<p>Usan direcciones URL aparentemente benignas como\u00a0hxxp:\/\/state-cip[.]org\/arhiv\u00a0, como se muestra en la Figura 5.<\/p>\n<p>Este sitio parece estar todav\u00eda activo al momento de escribir esta publicaci\u00f3n.<\/p>\n<figure id=\"attachment_126220\" class=\"wp-caption aligncenter\" style=\"width: 404px;\" aria-describedby=\"caption-attachment-126220\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-126220\" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/word-image-76.png\" alt=\"La imagen 6 es una captura de pantalla de un correo electr\u00f3nico de phishing con un bot\u00f3n de descarga. El enlace del bot\u00f3n de descarga utiliza Trident Ursa.\" width=\"404\" height=\"265\" title=\"\"><figcaption id=\"caption-attachment-126220\" class=\"wp-caption-text\">Figura 5. Ejemplo de correo electr\u00f3nico de phishing con enlace utilizado por Trident Ursa.<\/figcaption><\/figure>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\">Estos archivos\u00a0.html contienen archivos\u00a0.rar\u00a0codificados en Base64\u00a0que, a su vez, contienen un\u00a0archivo\u00a0.lnk malicioso.<\/p>\n<p style=\"text-align: justify;\">Una vez que un usuario hace clic en estos archivos\u00a0.lnk\u00a0, utiliza la aplicaci\u00f3n HTML de Microsoft (\u00a0mshta.exe\u00a0) para descargar archivos adicionales a trav\u00e9s de la URL, como se muestra en la Figura 6.<\/p>\n<figure id=\"attachment_126222\" class=\"wp-caption aligncenter\" style=\"width: 404px;\" aria-describedby=\"caption-attachment-126222\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-126222\" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/word-image-77.png\" alt=\"La Imagen 7 es un diagrama que muestra la ruta de explotaci\u00f3n para el phishing usando archivos .lnk maliciosos. Comienza con phishing y termina con VBScripts.\" width=\"404\" height=\"269\" title=\"\"><figcaption id=\"caption-attachment-126222\" class=\"wp-caption-text\">Figura 6. Ruta de explotaci\u00f3n para phishing usando\u00a0archivos\u00a0.lnk maliciosos.<\/figcaption><\/figure>\n<p>&nbsp;<\/p>\n<h3><strong>Analizando el archivo .lnk reciente<\/strong><\/h3>\n<p style=\"text-align: justify;\">SHA256\u00a00d51b90457c85a0baa6304e1ffef2c3ea5dab3b9d27099551eef60389a34a89b\u00a0, vemos que el archivo tiene 99,8 KB, que es aproximadamente 98 KB m\u00e1s grande que su\u00a0archivo\u00a0.lnk promedio.<\/p>\n<p style=\"text-align: justify;\">Seg\u00fan nuestra revisi\u00f3n de estos archivos\u00a0.lnk\u00a0m\u00e1s grandes de lo esperado utilizados por Trident Ursa, el archivo contiene cadenas aleatorias de 10 caracteres que evaluamos se agregaron durante el proceso de creaci\u00f3n.<\/p>\n<p style=\"text-align: justify;\">Se utilizan para confundir el an\u00e1lisis y no tienen ning\u00fan prop\u00f3sito que podamos identificar para las operaciones de Trident Ursa.<\/p>\n<p style=\"text-align: justify;\">Una vez abierto, este .\u00a0El acceso directo de lnk\u00a0usa\u00a0mshta.exe\u00a0para comunicarse con\u00a0hxxps:\/\/admou[.]org\/29.11_mou\/presented.rtf\u00a0a trav\u00e9s de un argumento de l\u00ednea de comando.<\/p>\n<p style=\"text-align: justify;\">Trident Ursa parece estar utilizando varias t\u00e9cnicas para limitar qui\u00e9n puede acceder a esta URL.<\/p>\n<p style=\"text-align: justify;\">Como han destacado otros investigadores, Trident Ursa parece estar utilizando bloqueos geogr\u00e1ficos para limitar las descargas de este archivo a ubicaciones geogr\u00e1ficas espec\u00edficas.<\/p>\n<p style=\"text-align: justify;\">En este caso, evaluamos que la posibilidad de descargar el archivo present.rtf a\u00a0trav\u00e9s\u00a0de esta URL se limita a Ucrania.\u00a0Hay algunas excepciones a esto, sin embargo.<\/p>\n<p style=\"text-align: justify;\">Parece que estos actores de amenazas actualmente est\u00e1n tratando de obstaculizar a los investigadores de amenazas bloqueando los nodos ExpressVPN y NordVPN dentro de Ucrania.<\/p>\n<p style=\"text-align: justify;\">Adem\u00e1s, parece que el actor est\u00e1 potencialmente realizando un filtrado adicional para controlar a\u00fan m\u00e1s el acceso a las cargas \u00fatiles.<\/p>\n<p style=\"text-align: justify;\">Por ejemplo, VirusTotal recibe un c\u00f3digo de estado HTTP de 200, lo que indica \u00e9xito al solicitar la URL anterior, pero la longitud total del contenido de la respuesta es de 0 bytes.<\/p>\n<p style=\"text-align: justify;\">Si se cumplen las condiciones de filtrado espec\u00edficas, el objetivo descarga el archivo .rtf (SHA256 3990c6e9522e11b30354090cd919258aabef599de26fc4177397b59abaf395c3 ) al abrir el .lnk .<\/p>\n<p style=\"text-align: justify;\">El archivo\u00a0presentado.rtf\u00a0es en realidad un archivo HTA que contiene c\u00f3digo VBScript.<\/p>\n<p style=\"text-align: justify;\">Este archivo HTA decodifica dos VBScripts codificados en Base64 incrustados, uno de los cuales se guardar\u00e1 en %USERPROFILE%\\josephine y el otro se ejecutar\u00e1 mediante Execute.<\/p>\n<p style=\"text-align: justify;\">El VBScript decodificado y ejecutado por el archivo.rtf\u00a0presentado\u00a0es responsable de agregar persistencia al ejecutar el VBScript guardado en el archivo\u00a0josephine\u00a0cada vez que el usuario inicia sesi\u00f3n.<\/p>\n<p style=\"text-align: justify;\">El archivo VBScript guardado en\u00a0josephine\u00a0es la carga \u00fatil al final de este proceso de instalaci\u00f3n.<\/p>\n<p style=\"text-align: justify;\">El primer VBScript responsable de habilitar el acceso persistente al sistema lo hace mediante la creaci\u00f3n de una tarea programada de Windows y una clave de registro, las cuales son t\u00e9cnicas comunes de Trident Ursa.<\/p>\n<p style=\"text-align: justify;\">Este script crea una nueva tarea programada llamada\u00a0Filmora.<\/p>\n<p style=\"text-align: justify;\">Complete\u00a0que ejecuta el script\u00a0josephine\u00a0cada cinco minutos, como se muestra en la informaci\u00f3n de la tarea programada que se muestra en la Figura 7.<\/p>\n<figure id=\"attachment_126224\" class=\"wp-caption aligncenter\" style=\"width: 402px;\" aria-describedby=\"caption-attachment-126224\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-126224\" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/word-image-78.png\" alt=\"La imagen 8 es una captura de pantalla de la interfaz del s\u00edmbolo del sistema que demuestra c\u00f3mo VBscript crea una tarea programada, que ejecuta el script josephine.\" width=\"402\" height=\"258\" title=\"\"><figcaption id=\"caption-attachment-126224\" class=\"wp-caption-text\">Figura 7. Tarea programada\u00a0Filmora.Complete\u00a0utilizada para ejecutar la carga \u00fatil cada cinco minutos.<\/figcaption><\/figure>\n<p style=\"text-align: justify;\">La secuencia de comandos tambi\u00e9n crea una clave de registro de ejecuci\u00f3n autom\u00e1tica para ejecutar autom\u00e1ticamente\u00a0josephine\u00a0VBScript cuando el usuario inicia sesi\u00f3n.<\/p>\n<p style=\"text-align: justify;\">La figura 8 muestra la clave de registro de ejecuci\u00f3n autom\u00e1tica llamada\u00a0telemetry\u00a0agregada al sistema para ejecutar VBScript cuando el usuario inicia sesi\u00f3n.<\/p>\n<figure id=\"attachment_126226\" class=\"wp-caption aligncenter\" style=\"width: 403px;\" aria-describedby=\"caption-attachment-126226\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-126226\" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/word-image-79.png\" alt=\"La imagen 9 es una captura de pantalla de la interfaz del s\u00edmbolo del sistema que muestra la clave de registro de ejecuci\u00f3n autom\u00e1tica agregada al sistema, denominada telemetr\u00eda, y d\u00f3nde se agreg\u00f3 al sistema para ejecutar el VBScript en el inicio de sesi\u00f3n del usuario.\" width=\"403\" height=\"68\" title=\"\"><\/figure>\n<p>Figura 8. Clave de registro de ejecuci\u00f3n autom\u00e1tica utilizada para ejecutar VBScript en el inicio de sesi\u00f3n del usuario.<\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: justify;\">El script\u00a0josephine\u00a0act\u00faa como el c\u00f3digo funcional de la puerta trasera, lo que permite a los actores de amenazas ejecutar c\u00f3digo VBScript adicional proporcionado por un servidor C2.<\/p>\n<p style=\"text-align: justify;\">El script contiene dos m\u00e9todos diferentes para determinar la direcci\u00f3n IP de su servidor C2, con el que se comunica directamente.<\/p>\n<p style=\"text-align: justify;\">El primer m\u00e9todo consiste en hacer ping al dominio\u00a0ENTONCES&lt;n\u00famero aleatorio&gt;.ua-cip[.]org\u00a0mediante la siguiente consulta del Instrumental de administraci\u00f3n de Windows (WMI) y verificar el valor de\u00a0ProtocolAddress\u00a0para determinar la direcci\u00f3n IP de C2:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-126228 aligncenter\" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/word-image-80.png\" width=\"488\" height=\"30\" alt=\"\" title=\"\"><br \/>\nSi el script no puede llegar a este dominio, intenta acceder a la URL de Telegram<\/p>\n<p>hxxps:\/\/t[.]me\/s\/vzloms\u00a0para obtener la direcci\u00f3n IP de C2.<\/p>\n<p>Lo hace comprobando la respuesta mediante una expresi\u00f3n regular de\u00a0==([0-9\\@]+)==\u00a0.<\/p>\n<p style=\"text-align: justify;\">Despu\u00e9s de obtener la direcci\u00f3n IP de C2, este script se comunicar\u00e1 con su C2 mediante la emisi\u00f3n de una solicitud HTTP GET personalizada, como se ve en la Figura 9.<\/p>\n<p style=\"text-align: justify;\">Los campos personalizados modificados en la solicitud HTTP incluyen un agente de usuario codificado con el nombre de la computadora, n\u00famero de serie del volumen n\u00famero y la cadena\u00a0::\/.josephine\/.\u00a0adjunto, as\u00ed como una cadena codificada utilizada en el campo Aceptar idioma.<\/p>\n<figure id=\"attachment_126230\" class=\"wp-caption aligncenter\" style=\"width: 402px;\" aria-describedby=\"caption-attachment-126230\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-126230\" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/word-image-81.png\" alt=\"La imagen 11 es una captura de pantalla de varias l\u00edneas de c\u00f3digo que muestra una solicitud HTTP GET personalizada enviada al servidor C2. Los campos personalizados han sido modificados.\" width=\"402\" height=\"91\" title=\"\"><figcaption id=\"caption-attachment-126230\" class=\"wp-caption-text\">Figura 9. Solicitud HTTP enviada al servidor C2.<\/figcaption><\/figure>\n<p style=\"text-align: justify;\">El script\u00a0josephine\u00a0lee las respuestas a esta solicitud HTTP, descodifica los datos Base64 dentro de la respuesta y los ejecuta como un VBScript.\u00a0No hemos observado un servidor C2 activo que proporcione VBScripts en respuesta a las solicitudes HTTP del\u00a0script\u00a0josephine .<\/p>\n<h3><strong>Phishing usando documentos de Word<\/strong><\/h3>\n<p style=\"text-align: justify;\">Los \u00faltimos documentos de phishing que hemos visto que usa Trident Ursa tienen bajas tasas de detecci\u00f3n en VirusTotal, probablemente debido a su simplicidad.<\/p>\n<p style=\"text-align: justify;\">Por ejemplo,<\/p>\n<p style=\"text-align: justify;\">SHA256\u00a0c22b20cee83b0802792a683ea7af86230288837bb3857c02e242fb6769fa8b0c\u00a0muestra 0\/61 detecciones al 8 de diciembre de 2022.<\/p>\n<figure id=\"attachment_126234\" class=\"wp-caption aligncenter\" style=\"width: 406px;\" aria-describedby=\"caption-attachment-126234\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-126234\" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/word-image-82.png\" alt=\"La imagen 11 es una captura de pantalla del software VirusTotal que muestra la cantidad de detecciones de SHA 256. En la captura de pantalla, VirusTotal no marca el archivo como malicioso.\" width=\"406\" height=\"77\" title=\"\"><figcaption id=\"caption-attachment-126234\" class=\"wp-caption-text\">Figura 10. Detecciones de VirusTotal para\u00a0c22b20cee83b0802792a683ea7af86230288837bb3857c02e242fb6769fa8b0c\u00a0.<\/figcaption><\/figure>\n<p style=\"text-align: justify;\">Este archivo se relaciona con una supuesta licitaci\u00f3n para comprar equipos inform\u00e1ticos para la Academia Nacional del Servicio de Seguridad de Ucrania.<\/p>\n<p style=\"text-align: justify;\">El archivo no contiene ning\u00fan c\u00f3digo malicioso en s\u00ed mismo. Cuando se abre, el archivo intenta contactar y descargar su plantilla remota desde:<\/p>\n<p style=\"text-align: justify;\">hxxp:\/\/relax.salary48.minhizo[.]ru\/MAIL\/gloomily\/along.rcs\u00a0.<\/p>\n<p style=\"text-align: justify;\">Esta plantilla, Along.rcs<\/p>\n<p style=\"text-align: justify;\">(SHA256: 007483ad49d90ac2cabe907eb5b3d7eef6a5473217c83b0fe99d087ee7b3f6b3 )<\/p>\n<p style=\"text-align: justify;\">es un archivo de vinculaci\u00f3n e incrustaci\u00f3n de objetos (OLE) que contiene una macro que ejecuta el c\u00f3digo malicioso.<\/p>\n<p style=\"text-align: justify;\">La macro en s\u00ed se parece al c\u00f3digo VBScript dentro del archivo HTA mencionado anteriormente, que se usa para cargar scripts adicionales.<\/p>\n<p>La instalaci\u00f3n de VBScript guarda la carga \u00fatil VBScrip en<\/p>\n<p>%USERPROFILE%\\Downloads\\frontier\\decisive<\/p>\n<p>Creando una tarea programada denominada GetSynchronization-USA para ejecutar autom\u00e1ticamente esta carga \u00fatil cada cinco minutos.<\/p>\n<p style=\"text-align: justify;\">El payload VBScript es el mismo que el payload anterior.\u00a0Intenta obtener la direcci\u00f3n IP de C2 a trav\u00e9s de un ping a\u00a0&lt;n\u00famero aleatorio&gt;decisive.hungzo[.]ru\u00a0y una expresi\u00f3n regular en la respuesta de una URL espec\u00edfica de Telegram,\u00a0hxxps:\/\/t[.]me\/s\/templ36\u00a0.<\/p>\n<p style=\"text-align: justify;\">Una vez que tiene la direcci\u00f3n IP, el script crea una solicitud HTTP GET a\u00a0hxxp:\/\/&lt;direcci\u00f3n IP de C2&gt;\/snhale&lt;n\u00famero aleatorio&gt;\/index.html=?&lt;n\u00famero aleatorio&gt;\u00a0con campos HTTP personalizados que completa con lo siguiente actividades:<\/p>\n<ul style=\"text-align: justify;\">\n<li>Agregar el nombre de la computadora y el n\u00famero de serie del volumen en el campo de agente de usuario personalizado\u00a0(Windows nt 6.1; win64; x64) applewebkit\/537.36 (khtml, like gecko) chrome\/90.0.4430.85 safari\/537.36\u00a0, junto con la cadena est\u00e1tica\u00a0;; \/.insuficiente\/\u00a0.<\/li>\n<li>Usando\u00a0frameS5V\u00a0como el valor de la cookie<\/li>\n<li>Configuraci\u00f3n del referente en\u00a0hxxps:\/\/developer.mozilla[.]org\/en-US\/docs\/Web\/JavaScript<\/li>\n<li>Configuraci\u00f3n de Accept-Language en r\u00a0u-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4<\/li>\n<li>Configuraci\u00f3n de Content-Length en\u00a04649<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Por \u00faltimo, el script codificar\u00e1 en Base64 la respuesta a esta URL e intentar\u00e1 ejecutarla.<\/p>\n<h3><strong>Cuentagotas vistos recientemente<\/strong><\/h3>\n<p>En los \u00faltimos tres meses, hemos visto a Trident Ursa usar dos goteros diferentes, pero muy similares.\u00a0El primer cuentagotas, generalmente llamado\u00a07ZSfxMod_x86.exe\u00a0, es la t\u00e9cnica tradicional de archivo autoextra\u00edble (SFX) de 7-Zip que el actor ha utilizado durante a\u00f1os.<\/p>\n<p>En estos archivos SFX, el script de configuraci\u00f3n de la instalaci\u00f3n ejecuta un VBScript incrustado mediante Windows Script Host (\u00a0wscript.exe\u00a0).\u00a0El segundo cuentagotas, generalmente llamado\u00a0myfile.exe\u00a0de acuerdo con el recurso\u00a0RT_VERSION\u00a0del ejecutable , es efectivamente un cargador que descarga dos archivos y eventualmente los ejecuta como VBScript usando wscript.<\/p>\n<h4><strong>7ZSfxMod_x86.exe<\/strong><\/h4>\n<p>Una muestra reciente (SHA256\u00a0ac1f3a43447591c67159528d9c4245ce0b93b129845bed9597d1f39f68dbd72f\u00a0) ejecuta el siguiente script de instalaci\u00f3n cuando se abre:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-126242 \" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/Trident-Ursa-Code-Snip-2.png\" alt=\"La imagen 11 son muchas l\u00edneas de c\u00f3digo que muestran un script de instalaci\u00f3n.\" width=\"400\" height=\"185\" title=\"\"><\/p>\n<p style=\"text-align: justify;\">Junto con el script de instalaci\u00f3n, el archivo contiene un VBScript denominado\u00a019698.mov<\/p>\n<p style=\"text-align: justify;\">(SHA256:\u00a0f488bd406f1293f7881dd0ade8d08f2b1358ddaf7c4af4d27d95f6f047339b3a\u00a0) al que se hace referencia en el script de instalaci\u00f3n.<\/p>\n<p style=\"text-align: justify;\">Similar a los ejemplos anteriores, VBScript probar\u00e1 dos m\u00e9todos diferentes para obtener su ubicaci\u00f3n C2.<\/p>\n<p style=\"text-align: justify;\">Primero, el script ejecuta una consulta WMI para hacer ping al dominio C2\u00a0&lt;n\u00famero aleatorio&gt;delirium.sohrabt[.]ru\u00a0.<\/p>\n<p style=\"text-align: justify;\">Si esto falla, tambi\u00e9n incluye una segunda rutina de ubicaci\u00f3n C2 que llegar\u00e1 a una p\u00e1gina de Telegram en\u00a0hxxps:\/\/t[.]me\/s\/vbs_run14\u00a0.\u00a0Luego usa una expresi\u00f3n regular de\u00a0==([0-9\\@]+)==\u00a0para encontrar una direcci\u00f3n IP dentro de la respuesta.<\/p>\n<p style=\"text-align: justify;\">El script reemplaza los caracteres &#8221;\u00a0@\u00a0&#8221; con un &#8220;.&#8221;\u00a0dentro de la coincidencia de la expresi\u00f3n regular para crear una direcci\u00f3n IPV4 en notaci\u00f3n de puntos, y escribe la direcci\u00f3n IP resultante en el archivo\u00a0%TEMP%\\prDK6\u00a0.<\/p>\n<p style=\"text-align: justify;\">Una vez que tiene la direcci\u00f3n IP, el script crea una solicitud HTTP GET a\u00a0hxxp:\/\/&lt;direcci\u00f3n IP de C2&gt;\/snhale&lt;n\u00famero aleatorio&gt;\/index.html=?&lt;n\u00famero aleatorio&gt;\u00a0con campos HTTP personalizados que completa con lo siguiente actividades:<\/p>\n<ul>\n<li>Agregar el nombre de la computadora y el n\u00famero de serie del volumen en el campo de agente de usuario personalizado,\u00a0mozilla\/5.0 (windows nt 6.1; win64; x64) applewebkit\/537.36 (khtml, como gecko) chrome\/86.0.4240.193 safari\/537.36\u00a0, junto con la est\u00e1tica cadena\u00a0;;\/.snventor\/.<\/li>\n<li>Usando\u00a0defectuoso\u00a0como el valor de la cookie<\/li>\n<li>Configuraci\u00f3n del referente a\u00a0hxxps:\/\/www.unn.com[.]ua\/ru\/<\/li>\n<li>Configurando Accept-Language en\u00a0ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4<\/li>\n<li>Establecer la longitud del contenido en\u00a02031<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">El script, como el mencionado anteriormente, lee la respuesta a esta baliza, decodifica los datos Base64 dentro de la respuesta y ejecuta el resultado como un VBScript usando el m\u00e9todo Execute.<\/p>\n<p style=\"text-align: justify;\">Este script tambi\u00e9n tiene una URL de respaldo que usar\u00e1 si recibe un estado de respuesta HTTP que no sea 200 o 404, espec\u00edficamente<\/p>\n<p>hxxp:\/\/&lt;direcci\u00f3n IP de C2&gt;\/snquiries&lt;n\u00famero aleatorio&gt;\/index.html=?&lt;n\u00famero aleatorio &gt; .<\/p>\n<h4>miarchivo.exe<\/h4>\n<p style=\"text-align: justify;\">Una muestra reciente<\/p>\n<p style=\"text-align: justify;\">(SHA256:\u00a0a79704074516589c8a6a20abd6a8bcbbcc5a39a5ddbca714fbbf5346d7035f42\u00a0)<\/p>\n<p style=\"text-align: justify;\">funciona como un cargador que suelta dos archivos y finalmente los ejecuta como VBScripts usando la aplicaci\u00f3n wscript.<\/p>\n<p style=\"text-align: justify;\">Primero, el ejecutable lee sus propios datos de archivo y salta al final del archivo Portable Executable (PE) para acceder a los datos superpuestos que se agregaron al ejecutable.<\/p>\n<p style=\"text-align: justify;\">Luego, el ejecutable descifra los datos superpuestos al rev\u00e9s usando XOR en cada byte con el byte que lo precede.\u00a0Con estos datos, el ejecutable escribe el texto no cifrado en las siguientes ubicaciones:<\/p>\n<ul style=\"text-align: justify;\">\n<li>C:\\Usuarios\\&lt;nombre de usuario&gt;\\nutfgqsjs.fjyc<\/li>\n<li>C:\\Usuarios\\&lt;nombre de usuario&gt;\\16403.dll<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">El binario concatena algunas cadenas al contenido escrito en\u00a0nutfgqsjs.fjyc\u00a0antes de escribir este archivo en el disco, espec\u00edficamente l\u00edneas de c\u00f3digo VBScript para eliminar el ejecutable inicial y los dos archivos VBScript.<\/p>\n<p style=\"text-align: justify;\">El ejecutable concluye ejecutando el script\u00a0nutfgqsjs.fjyc\u00a0llamando a\u00a0CreateProcessA\u00a0usando la siguiente l\u00ednea de comando:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-126251\" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/Screen-Shot-2022-12-19-at-4.31.35-PM.png\" alt=\"Una captura de pantalla del c\u00f3digo que muestra la l\u00ednea de comando donde se ejecuta VBScript.\" width=\"600\" height=\"52\" title=\"\"><\/p>\n<p>El archivo\u00a0nutfgqsjs.fjyc\u00a0es un archivo VBScript que contiene una cantidad significativa de comentarios destinados a ocultar el c\u00f3digo real.\u00a0Este script incluye el siguiente c\u00f3digo funcional que ejecuta el VBScript\u00a016403.dll\u00a0:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-126244 \" src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2022\/12\/Trident-Ursa-Code-Snip-3.png\" alt=\"Una captura de pantalla de varias l\u00edneas de c\u00f3digo que muestra el VBScript 16403.dll\" width=\"403\" height=\"137\" title=\"\"><\/p>\n<p>El archivo\u00a016403.dll\u00a0es otro VBScript con el c\u00f3digo funcional que decodifica otro VBScript y lo ejecuta.\u00a0Despu\u00e9s de varias capas de decodificaci\u00f3n y reemplazo de texto, finalmente se ejecuta el \u00faltimo VBScript.<\/p>\n<p>Este VBScript final usa las mismas t\u00e9cnicas descritas en las descripciones anteriores de\u00a0<a href=\"https:\/\/unit42.paloaltonetworks.com\/trident-ursa\/?mkt_tok=MjA4LVJESS0wODAAAAGI_bFxeDdU-SGVdjWfzO9UmbEO18EjnTJyIpOmrU-_q0ZogLdutGLauk_r_u_hbY_whIFruAJEdK7k0BdwY_1HLHJPFp6xgGgoOiPEPc4#post-126209-_s7uy118bddtw\" target=\"_blank\" rel=\"noopener\">.lnk<\/a>\u00a0y\u00a0<a href=\"https:\/\/unit42.paloaltonetworks.com\/trident-ursa\/?mkt_tok=MjA4LVJESS0wODAAAAGI_bFxeDdU-SGVdjWfzO9UmbEO18EjnTJyIpOmrU-_q0ZogLdutGLauk_r_u_hbY_whIFruAJEdK7k0BdwY_1HLHJPFp6xgGgoOiPEPc4#post-126209-_1s6lv3r2u8pw\" target=\"_blank\" rel=\"noopener\">7ZSfxMod_x86.exe<\/a>\u00a0.<\/p>\n<p>Primero, el script ejecuta una consulta WMI para hacer ping al dominio C2\u00a0morbuso[.]ru\u00a0.\u00a0Si esto falla, tambi\u00e9n incluye una segunda rutina de ubicaci\u00f3n C2 que llegar\u00e1 a una p\u00e1gina de Telegram, espec\u00edficamente\u00a0hxxps:\/\/t[.]me\/s\/dracarc\u00a0.\u00a0A partir del 18 de noviembre, esta cuenta (@dracarc) devolvi\u00f3 lo siguiente,\u00a0==104@248@36@191==\u00a0.\u00a0Usando la expresi\u00f3n regular de\u00a0==([0-9\\@]+)==\u00a0esto se convierte a IP\u00a0104.248.36[.]191\u00a0y se usa para comunicaciones de seguimiento.<\/p>\n<p>Luego, el script crea una solicitud HTTP GET para\u00a0hxxp:\/\/&lt;IPV4&gt;\/justly\/CRONOS.icn?=Chr\u00a0con campos HTTP personalizados que completa con las siguientes actividades:<\/p>\n<ul>\n<li>Agregando el nombre de la computadora y el n\u00famero de serie del volumen en el campo de agente de usuario personalizado,\u00a0mozilla\/5.0\u00a0(\u00a0macintosh\u00a0;\u00a0intel mac os x 10_15_3\u00a0)\u00a0applewebkit\/605.1.15\u00a0(\u00a0khtml\u00a0,\u00a0como gecko\u00a0)\u00a0version\/13.0.5 safari\/605.1.15; ;\u00a0junto con la cadena est\u00e1tica\u00a0;;\/.justice\/\u00a0.<\/li>\n<li>Usando\u00a0celos\u00a0como el valor de la cookie<\/li>\n<li>No establece Referrer en esta instancia<\/li>\n<li>Configurando Accept-Language en\u00a0ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4<\/li>\n<li>Configuraci\u00f3n de Content-Length en\u00a05537<\/li>\n<\/ul>\n<p>Por \u00faltimo, el script codificar\u00e1 en Base64 la respuesta a esta URL e intentar\u00e1 ejecutarla.<\/p>\n<h4><strong>Conclusi\u00f3n<\/strong><\/h4>\n<p style=\"text-align: justify;\">Trident Ursa sigue siendo una APT \u00e1gil y adaptable que no utiliza t\u00e9cnicas demasiado sofisticadas o complejas en sus operaciones.<\/p>\n<p style=\"text-align: justify;\">En la mayor\u00eda de los casos, se basan en herramientas y secuencias de comandos disponibles p\u00fablicamente, junto con una cantidad significativa de ofuscaci\u00f3n, as\u00ed como en intentos de phishing de rutina para ejecutar con \u00e9xito sus operaciones.<\/p>\n<p style=\"text-align: justify;\">Las operaciones de este grupo son captadas regularmente por investigadores y organizaciones gubernamentales y, sin embargo, no parece importarles.<\/p>\n<p style=\"text-align: justify;\">Simplemente agregan ofuscaci\u00f3n adicional, nuevos dominios y nuevas t\u00e9cnicas y vuelven a intentarlo, a menudo incluso reutilizando muestras anteriores.<\/p>\n<p>Operando continuamente de esta manera desde al menos 2014 sin signos de desaceleraci\u00f3n durante este per\u00edodo de conflicto, Trident Ursa contin\u00faa teniendo \u00e9xito.\u00a0Por todas estas razones, siguen siendo una amenaza importante para Ucrania, de la que Ucrania y sus aliados deben defenderse activamente.<\/p>\n<h3><strong>Protecciones y Mitigaciones<\/strong><\/h3>\n<p style=\"text-align: justify;\">La mejor defensa contra Trident Ursa es una postura de seguridad que favorezca la prevenci\u00f3n.<\/p>\n<p style=\"text-align: justify;\">Recomendamos que las organizaciones implementen las siguientes medidas:<\/p>\n<ul>\n<li style=\"text-align: justify;\">Busque en los registros de red y endpoint cualquier evidencia de los indicadores de compromiso asociados con este grupo de amenazas.<\/li>\n<li style=\"text-align: justify;\">Aseg\u00farese de que las soluciones de ciberseguridad se bloqueen de manera efectiva contra los IoC de la infraestructura\u00a0<a href=\"https:\/\/github.com\/pan-unit42\/iocs\/blob\/master\/Gamaredon\/Gamaredon_IoCs_DEC2022.txt\" target=\"_blank\" rel=\"noopener\">activa<\/a>\u00a0.<\/li>\n<li style=\"text-align: justify;\">Implemente una soluci\u00f3n de seguridad de DNS para detectar y mitigar las solicitudes de DNS para la infraestructura C2 conocida.\u00a0Adem\u00e1s, si una organizaci\u00f3n no tiene un caso de uso espec\u00edfico para servicios como Telegram Messaging y herramientas de b\u00fasqueda de dominios dentro de su entorno empresarial, agregue estos dominios a la lista de bloqueo de la organizaci\u00f3n o no los agregue a la lista de permitidos en el caso de Zero Redes de confianza.<\/li>\n<li style=\"text-align: justify;\">Aplique un escrutinio adicional a todo el tr\u00e1fico de red que se comunique con AS 197695 (\u00a0Reg[.]ru\u00a0).<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Para los clientes de Palo Alto Networks, sus productos y servicios brindan la siguiente cobertura asociada con esta campa\u00f1a:<\/p>\n<ul>\n<li style=\"text-align: justify;\"><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xdr\" rel=\"noopener\" target=\"_blank\">Los clientes de Cortex XDR<\/a> reciben protecci\u00f3n en los terminales frente a las t\u00e9cnicas de malware descritas.<\/li>\n<li style=\"text-align: justify;\">El servicio de an\u00e1lisis de amenazas basado en la nube de\u00a0<a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/wildfire\" target=\"_blank\" rel=\"noopener\">WildFire identifica con precisi\u00f3n el malware descrito en este blog como malicioso.<\/a><\/li>\n<li style=\"text-align: justify;\"><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-url-filtering\" rel=\"noopener\" target=\"_blank\">El filtrado de URL avanzado<\/a>\u00a0y\u00a0<a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/dns-security\" rel=\"noopener\" target=\"_blank\">la seguridad de DNS<\/a>\u00a0identifican todos los dominios de phishing y malware asociados con este grupo como maliciosos.<\/li>\n<li style=\"text-align: justify;\"><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/next-generation-firewall\" target=\"_blank\" rel=\"noopener\">Los cortafuegos de pr\u00f3xima generaci\u00f3n<\/a>\u00a0con una suscripci\u00f3n de seguridad\u00a0<a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-threat-prevention\" target=\"_blank\" rel=\"noopener\">de prevenci\u00f3n de amenazas avanzada<\/a>\u00a0pueden bloquear los ataques con las mejores pr\u00e1cticas a trav\u00e9s de la firma de prevenci\u00f3n de amenazas 86694.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Palo Alto Networks ha compartido estos hallazgos, incluidas muestras de archivos e indicadores de compromiso, con el\u00a0<a href=\"https:\/\/cert.gov.ua\/about-us\" target=\"_blank\" rel=\"noopener\">Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania<\/a> , as\u00ed como con los miembros de\u00a0<a href=\"https:\/\/cyberthreatalliance.org\/\" target=\"_blank\" rel=\"noopener\">Cyber \u200b\u200bThreat Alliance<\/a>\u00a0.<\/p>\n<p style=\"text-align: justify;\">Estas organizaciones utilizan esta inteligencia para implementar r\u00e1pidamente protecciones para sus clientes y para interrumpir sistem\u00e1ticamente a los actores cibern\u00e9ticos maliciosos.<\/p>\n<h4><strong>Indicadores de compromiso<\/strong><\/h4>\n<p>Una lista de dominios, direcciones IP y hashes de malware est\u00e1 disponible en\u00a0<a href=\"https:\/\/github.com\/pan-unit42\/iocs\/blob\/master\/Gamaredon\/Gamaredon_IoCs_DEC2022.txt\" target=\"_blank\" rel=\"noopener\">Unit 42 GitHub<\/a>\u00a0.<\/p>\n<p>&nbsp;<\/p>\n<p>Por Marcelo Lozano &#8211; General Publisher IT CONNECT LATAM<\/p>\n<p>Lea m\u00e1s sobre ciberseguridad<\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/infraestructuras-criticas-000000000000000001\/\">Infraestructuras cr\u00edticas son foco de ciberataques en 2022<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/ciberamenazas-000000000000000000000000000001\/\">Ciberamenazas: predicciones para los pr\u00f3ximos 12 meses<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/ciberseguridad-2023-000000000000000000001\/\">Ciberseguridad 2023: perspectivas del editor<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/godfather-00000000000000000000000000000001\/\">Godfather: el troyano bancario que cierra las amenazas 2022<\/a><\/p>\n<p><a href=\"https:\/\/itconnect.lat\/portal\/kaspersky-000000000000002022\/\">Kaspersky: crecen de m\u00e1s de 230% los virus de criptominer\u00eda<\/a><\/p>\n<p><span style=\"color: #ffffff;\">Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa, Trident ursa,\u00a0<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Trident Ursa (tambi\u00e9n conocido como Gamaredon, UAC-0010, Primitive Bear, Shuckworm)\u00a0, Ucrania y su dominio cibern\u00e9tico se han enfrentado a amenazas cada vez mayores de Rusia.\u00a0 Trident Ursa es un grupo\u00a0atribuido por el Servicio de Seguridad de Ucrania\u00a0al Servicio de Seguridad Federal de Rusia. A medida que el conflicto ha continuado sobre el terreno y en [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":687,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[58],"tags":[355,368,370,354,352,353,364,357,362,369,358,348,361,372,367,359,373,365,356,371,374,360,363,264],"class_list":["post-683","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-bypassing-dns","tag-doc","tag-exe","tag-fast-flux-dns","tag-federal-security-service","tag-fsb","tag-gamaredon","tag-government","tag-hta","tag-lnk","tag-military","tag-mitre-groupgamaredon-group","tag-nato","tag-primitive-bear","tag-rtf","tag-russia","tag-shuckworm","tag-trident-ursa","tag-twitter","tag-ua","tag-uac-0010","tag-ukraine","tag-vbs","tag-windows"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/683","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/comments?post=683"}],"version-history":[{"count":6,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/683\/revisions"}],"predecessor-version":[{"id":691,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/posts\/683\/revisions\/691"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media\/687"}],"wp:attachment":[{"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/media?parent=683"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/categories?post=683"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/itconnect.lat\/portal\/wp-json\/wp\/v2\/tags?post=683"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}