Ciberseguridad 360 | Rusos emplean tácticas LoTL contra entidades ucranianas

Las organizaciones de Ucrania han sido blanco de cibercriminales de origen ruso con el objetivo de sustraer datos confidenciales y mantener un acceso persistente a las redes comprometidas.

Seg�n un nuevo informe del equipo de Symantec y Carbon Black Threat Hunter, la actividad se dirigi� contra una gran organizaci�n de servicios empresariales durante dos meses y contra una entidad gubernamental local del pa�s durante una semana

Los ataques se basaron principalmente en t�cticas de living-off-the-land (LotL) y herramientas de doble uso, junto con un m�nimo de malware, para reducir las huellas digitales y pasar desapercibidos durante largos periodos de tiempo

"Los atacantes obtuvieron acceso a la organizaci�n de servicios empresariales mediante el despliegue de shells web en servidores p�blicos, probablemente aprovechando una o varias vulnerabilidades sin parchear", afirmaron los equipos de ciberseguridad propiedad de Broadcom en un informe compartido con The Hacker News

Uno de los web shells utilizados en el ataque fue Localolive, que anteriormente hab�a sido se�alado por Microsoft como utilizado por un subgrupo del equipo Sandworm, vinculado a Rusia, como parte de una campa�a de varios a�os con el nombre en clave BadPilot. LocalOlive est� dise�ado para facilitar la entrega de cargas �tiles de siguiente fase, como Chisel, plink y rsockstun. Se ha utilizado al menos desde finales de 2021

Los primeros indicios de actividad maliciosa dirigida a la organizaci�n de servicios empresariales se remontan al 27 de junio de 2025, cuando los atacantes aprovecharon su punto de apoyo para introducir un shell web y utilizarlo para llevar a cabo un reconocimiento. Tambi�n se ha descubierto que los autores de la amenaza ejecutan comandos de PowerShell para excluir las descargas del equipo de los an�lisis de Microsoft Defender Antivirus, as� como para configurar una tarea programada que realiza un volcado de memoria cada 30 minutos.

Durante las siguientes dos semanas, los atacantes llevaron a cabo diversas acciones, entre ellas:

Guarde una copia del sub�rbol del Registro en un archivo llamado 1.log
Desplegar m�s web shells
Usar el shell web para enumerar todos los archivos del directorio de usuario
Ejecutar un comando para listar todos los procesos en ejecuci�n que comienzan por kee, probablemente con el objetivo de atacar el almac�n de contrase�as KeePass
Listar todas las sesiones de usuario activas en una segunda m�quina
Ejecutar los ejecutables llamados �service.exe� y �cloud.exe� ubicados en la carpeta Descargas
Ejecutar comandos de reconocimiento en una tercera m�quina y realizar un volcado de memoria utilizando la herramienta de diagn�stico de fugas de recursos de Microsoft Windows (RDRLeakDiag).
Modificar el registro para permitir las conexiones RDP entrantes.
Ejecutar un comando de PowerShell para recuperar informaci�n sobre la configuraci�n de Windows en una cuarta m�quina.
Ejecutar RDPclip para obtener acceso al portapapeles en conexiones de escritorio remoto.
Instalar OpenSSH para facilitar el acceso remoto al ordenador
Ejecutar un comando de PowerShell para permitir el tr�fico TCP en el puerto 22 para el servidor OpenSSH
Crear una tarea programada para ejecutar una puerta trasera desconocida de PowerShell (link.ps1) cada 30 minutos utilizando una cuenta de dominio
Ejecutar un script desconocido de Python
Implementar una aplicaci�n leg�tima de gesti�n de routers MikroTik (�winbox64.exe�) en la carpeta Descargas

Curiosamente, la presencia de winbox64.exe tambi�n fue documentada por CERT-UA en abril de 2024 en relaci�n con una campa�a de Sandworm dirigida a proveedores de energ�a, agua y calefacci�n en Ucrania.

Symantec y Carbon Black afirmaron que no pudieron encontrar ninguna prueba en las intrusiones que las relacionara con Sandworm, pero se�alaron que parec�a ser de origen ruso. La empresa de ciberseguridad tambi�n revel� que los ataques se caracterizaron por el despliegue de varias puertas traseras de PowerShell y ejecutables sospechosos que probablemente sean malware. Sin embargo, no se ha obtenido ninguno de estos artefactos para su an�lisis.

"Aunque los atacantes utilizaron una cantidad limitada de malware durante la intrusi�n, gran parte de la actividad maliciosa que tuvo lugar implic� herramientas leg�timas, ya fuera software Living-off-the-Land o de doble uso introducido por los atacantes", afirmaron Symantec y Carbon Black.

"Los atacantes demostraron un profundo conocimiento de las herramientas nativas de Windows y mostraron c�mo un atacante experto puede llevar a cabo un ataque y robar informaci�n confidencial, como credenciales, dejando un rastro m�nimo en la red objetivo".

La revelaci�n se produce despu�s de que Gen Threat Labs detallara c�mo Gamaredon aprovech� una vulnerabilidad de seguridad ya corregida en WinRAR (CVE-2025-8088, puntuaci�n CVSS: 8,8) para atacar a organismos gubernamentales ucranianos.

"Los atacantes est�n abusando de #CVE-2025-8088 (traversal de ruta de WinRAR) para entregar archivos RAR que descargan silenciosamente malware HTA en la carpeta de inicio, sin necesidad de interacci�n por parte del usuario m�s all� de abrir el PDF benigno que contiene", afirm� la empresa en una publicaci�n en X. "Estos se�uelos est�n dise�ados para enga�ar a las v�ctimas y que abran archivos maliciosos, continuando con un patr�n de ataques agresivos visto en campa�as anteriores"

Los hallazgos tambi�n siguen a un informe de Recorded Future, que descubri� que el ecosistema ciberdelictivo ruso est� siendo moldeado activamente por campa�as internacionales de aplicaci�n de la ley, como la Operaci�n Endgame, lo que ha cambiado la relaci�n del Gobierno ruso con los grupos de ciberdelincuencia, pasando de una tolerancia pasiva a una gesti�n activa.

Un an�lisis m�s detallado de los chats filtrados ha revelado que las figuras destacadas de estos grupos de amenazas suelen mantener relaciones con los servicios de inteligencia rusos, a los que proporcionan datos, realizan tareas o aprovechan el soborno y las conexiones pol�ticas para obtener impunidad. Al mismo tiempo, los grupos de ciberdelincuentes est�n descentralizando sus operaciones para eludir la vigilancia occidental y nacional.

Aunque se sabe desde hace tiempo que los ciberdelincuentes rusos pueden operar libremente siempre que no ataquen a empresas o entidades que operan en la regi�n, el Kremlin parece estar adoptando ahora un enfoque m�s matizado, en el que recluta o cooptan talentos cuando es necesario, hace la vista gorda cuando los ataques coinciden con sus intereses y aplica las leyes de forma selectiva cuando los autores de las amenazas se vuelven pol�ticamente inconvenientes o vergonzosos para el exterior.

Desde este punto de vista, el pacto oscuro es una combinaci�n de varias cosas: una empresa comercial, una herramienta de influencia y adquisici�n de informaci�n, y tambi�n una responsabilidad cuando amenaza la estabilidad nacional o debido a la presi�n occidental.

"El mundo clandestino de los ciberdelincuentes rusos se est� fracturando bajo la doble presi�n del control estatal y la desconfianza interna, mientras que la vigilancia de los foros privados y las conversaciones de los afiliados al ransomware muestran una creciente paranoia entre los operadores", se�al� la empresa en su tercera entrega del informe Dark Covenant.

Fuente: thehackernews