Desde fevereiro, a Unit 42, grupo de pesquisa da Palo Alto, vem cobrindo o grupo de ameaças persistentes avançadas (APT) Trident Ursa (também conhecido como Gamaredon, UAC-0010, Primitive Bear, Shuckworm), pois a Ucrânia e seu domínio cibernético enfrentam ameaças cada vez maiores da Rússia. Trident Ursa é um grupo atribuído pelo Serviço de Segurança da Ucrânia ao Serviço de Segurança Federal da Rússia.
À medida que o conflito continua no terreno e no ciberespaço, a Trident Ursa tem operado como um criador de acesso dedicado e coletor de inteligência. O Trident Ursa continua sendo um dos APTs mais difundidos, intrusivos, continuamente ativos e focados na Ucrânia.
Dada a situação geopolítica em curso e o foco específico deste grupo APT, os pesquisadores da Unit 42 continuam monitorando ativamente os indicadores de suas operações. Ao fazer isso, mapeamos mais de 500 novos domínios, 200 amostras e outros indicadores de comprometimento (IoCs) usados nos últimos 10 meses que suportam os diferentes propósitos de phishing e malware do Trident Ursa.
Uma representação pictórica de Trident Ursa é mostranda como um urso roxo e tridente
Ao monitorar esses domínios, bem como a inteligência de código aberto, a Unidade 42 identificou vários itens relevantes:
*Uma tentativa malsucedida de comprometer uma grande empresa de refino de petróleo de um país membro da OTAN em 30 de agosto.
*Um indivíduo que parece estar envolvido com o Trident Ursa ameaçou ferir um pesquisador de segurança cibernética da Ucrânia imediatamente após a invasão inicial.
* Múltiplas mudanças em suas táticas, técnicas e procedimentos (TTPs).
