As operações cibernéticas russas por Trident Ursa ou APT Gamaredon permaneceram ativas desde a invasão da Ucrânia. Além disso, houve uma tentativa de ataque a uma grande refinaria de petróleo em um estado membro da OTAN.
A Ucrânia tem enfrentado ameaças cibernéticas crescentes da Rússia desde o início de fevereiro, quando a Unidade 42 da Palo Alto Networks relatou extensivamente sobre o grupo APT Trident Ursa (também conhecido como Gamaredon, UAC-0010, Primitive Bear, Shuckworm). Trident Ursa é um grupo afiliado à agência de inteligência doméstica russa FSB. À medida que o conflito continua no terreno e no ciberespaço, o Trident Ursa continua sendo um dos APTs mais difundidos, continuamente ativos e direcionados à Ucrânia.
500 novos domínios como plataforma de ataque
Dada a situação geopolítica atual e o foco específico deste grupo APT, os pesquisadores da Unidade 42 continuam a buscar ativamente indicadores de operações. Ao fazer isso, eles identificaram mais de 500 novos domínios, 200 amostras e outros IoCs (indicadores de comprometimento) que dão suporte aos vários alvos de phishing e malware do Trident Ursa nos últimos dez meses. Ao monitorar esses domínios, bem como as informações de código aberto, os pesquisadores notaram várias atividades notáveis:
- Uma tentativa malsucedida em 30 de agosto de 2022 de comprometer uma grande refinaria em um estado membro da OTAN.
- Uma pessoa aparentemente relacionada ao Trident Ursa ameaçou um pesquisador ucraniano de segurança cibernética imediatamente após a invasão inicial.
- Várias mudanças de Táticas, Técnicas e Procedimentos (TTPs).
Conclusões da investigação
O Trident Ursa continua sendo um APT ágil e adaptável que não emprega técnicas excessivamente sofisticadas ou complexas em suas operações. Na maioria dos casos, o grupo conta com ferramentas e scripts disponíveis publicamente, juntamente com um grau significativo de ofuscação, bem como tentativas de phishing de rotina para realizar operações com sucesso.
Estes são descobertos regularmente por pesquisadores e organizações governamentais, que o grupo parece não se incomodar. Ele simplesmente adiciona ofuscações adicionais, novos domínios e novas técnicas, e tenta novamente, muitas vezes até mesmo reutilizando padrões anteriores. O Trident Ursa opera dessa maneira desde pelo menos 2014 e não mostra sinais de desaceleração durante esse período de conflito. Por todas essas razões, continua sendo uma ameaça significativa para a Ucrânia e seus aliados.
Proteção e Ações Corretivas
A melhor defesa contra o Trident Ursa é uma postura de segurança que favorece a prevenção. A Unidade 42 recomenda que as empresas tomem as seguintes medidas:
- Pesquisar logs de rede e endpoint em busca de indicadores de comprometimento associados a esse grupo de ameaças.
- Garanta que as soluções de segurança cibernética bloqueiem efetivamente IoCs de infraestrutura ativa.
- Implementação de uma solução de segurança de DNS para detetar e mitigar pedidos de DNS para infraestruturas C2 conhecidas. A menos que uma empresa tenha um caso de uso específico para serviços como mensagens do Telegram e ferramentas de pesquisa de domínio em seu ambiente de negócios, esses domínios devem ser adicionados à lista de bloqueio. No caso de redes Zero Trust, os domínios não devem ser incluídos na lista de domínios permitidos.
- Aplicando uma verificação adicional a todo o tráfego de rede que se comunica com AS 197695(Reg[.]ru).
Sobre a Palo Alto Networks A Palo Alto Networks, líder global em soluções de segurança cibernética, está moldando o futuro baseado em nuvem com tecnologias que transformam a maneira como as pessoas e as empresas trabalham. Nossa missão é ser o parceiro preferencial de segurança cibernética e proteger nosso modo de vida digital. Ajudamos você a enfrentar os maiores desafios de segurança do mundo com inovação contínua, aproveitando os avanços mais recentes em inteligência artificial, análise, automação e orquestração. Ao fornecer uma plataforma integrada e capacitar um crescente ecossistema de parceiros, somos líderes na proteção de dezenas de milhares de empresas em nuvens, redes e dispositivos móveis. Nossa visão é um mundo onde cada dia é mais seguro do que o anterior.