Continuano senza sosta gli attacchi contro le aziende ucraine da parte di cybercriminali russi. I ricercatori di Symantec hanno scoperto che Shuckworm (noto anche come Gamaredon o Armageddon) ha utilizzato quattro varianti della backdoor Pteredo per diverse campagne di spionaggio. Il gruppo ha sfruttato altri tool per cercare di prendere il controllo dei computer delle vittime.
Quattro versioni della backdoor
Shuckworm, probabilmente legato al Federal Security Service (FSB) della Russia, è un gruppo noto fin dal 2014 per aver effettuato oltre 5.000 attacchi contro il governo e aziende dell’Ucraina. Le loro attività sono notevolmente aumentate in seguito all’invasione russa, quasi certamente per supportare le azioni militari. Gli attacchi più recenti sono stati eseguiti con quattro varianti della backdoor Pteredo che comunicano con altrettanti server C&C (command and control).
L’uso contemporaneo di più varianti permette di mantenere la persistenza sui computer delle vittime. Se una di esse viene rilevata e bloccata, i cybercriminali possono utilizzare le altre e distribuire nuove varianti. Tutte installano dropper VBS (Virtual Basic Script), sfruttano l’utilità di pianificazione e scaricano codice aggiuntivo dal server C&C.
Una delle varianti viene nascosta all’interno di un archivio 7-Zip. In tutti i casi, Pteredo cerca di eludere le tecnologie di sicurezza con tecniche di offuscamento e di rimanere attiva anche dopo il riavvio del computer. Oltre alla backdoor, il gruppo Shuckworm ha utilizzato UltraVNC, un noto tool open source che permette la gestione remota.
Symantec evidenzia che Pteredo non è un malware molto sofisticato, quindi può essere facilmente rilevato dalle soluzioni di sicurezza. Tuttavia può essere modificato per aggiungere funzionalità più pericolose.