دودة القمامة

تم الكشف عن عملاء تجسس إلكتروني مرتبطين بجهاز الأمن الفيدرالي الروسي (FSB) يستخدمون دودة نشر USB تسمى LitterDrifter في هجمات موجهة إلى الكيانات الأوكرانية.

تم تحديد الكيان الذي ينظم هذا الهجوم باسم Gamaredon ، والمعروف أيضًا بأسماء مستعارة مثل Aqua Blizzard وIron Tilden وPrimitive Bear وShuckworm وWinterflounder. وتصف الاستراتيجيات الحديثة التي يستخدمها هؤلاء المتسللون المجموعة بأنها تقوم بحملات واسعة النطاق، تليها جهود دقيقة لجمع البيانات تستهدف أهدافًا محددة. ومن المفترض أن يكون اختيار هذه الأهداف مدفوعًا بأهداف التجسس.

لقد انتشر برنامج LitterDrifter إلى ما هو أبعد من أهدافه الأولية

تتميز دودة LitterDrifter بوظيفتين أساسيتين: فهي تنشر البرامج الضارة تلقائيًا من خلال محركات أقراص USB متصلة وتقيم اتصالاً مع خوادم القيادة والتحكم (C2، C&C) الخاصة بممثل التهديد. هناك شكوك في أنها تمثل تقدمًا من دودة USB المستندة إلى PowerShell التي تم الكشف عنها سابقًا، والتي كشف عنها الباحثون في يونيو 2023.

تم تصميم وحدة الموزعة باستخدام VBS، وتتولى مسؤولية توزيع الدودة بشكل سري داخل محرك أقراص USB، مصحوبًا بـ LNK خادع بأسماء معينة عشوائيًا. التسمية "LitterDrifter" مشتقة من مكون التزامن الأولي المسمى "trash.dll".

تتبنى Gamaredon أسلوبًا مميزًا في التحكم والسيطرة، حيث تستخدم النطاقات كعناصر نائبة لعناوين IP الفعلية المستخدمة كخوادم C2.

علاوة على ذلك، يُظهر LitterDrifter القدرة على الاتصال بخادم القيادة والتحكم المستخرج من قناة Telegram، وهو تكتيك يستخدمه باستمرار ممثل التهديد منذ أوائل عام 2023. وقد حدد خبراء الأمن السيبراني علامات محتملة للعدوى خارج أوكرانيا، حيث تشير الاكتشافات إلى نشاط في الولايات المتحدة وفيتنام. وتشيلي وبولندا وألمانيا وهونج كونج.

تقوم Gamaredon بتطوير تقنيات الهجوم الخاصة بها

طوال العام الحالي، حافظت Gamaredon على وجودها النشط، حيث قامت بتكييف استراتيجياتها الهجومية باستمرار. في يوليو 2023، أصبحت براعة العدو في استخراج البيانات السريعة واضحة، حيث تمكن ممثل التهديد من نقل معلومات حساسة في غضون ساعة واحدة فقط من التسوية الأولية.

من الواضح أن LitterDrifter تم تصميمه خصيصًا لتسهيل عملية جمع واسعة النطاق. ومن خلال استخدام تقنيات واضحة وفعالة، تضمن البرمجيات الخبيثة قدرتها على الوصول إلى مجموعة واسعة من الأهداف في المنطقة.

تظهر الجهات التهديدية نشاطًا متزايدًا منذ بداية الحرب الروسية الأوكرانية

تتزامن الأحداث الجارية مع كشف المركز الوطني لتنسيق الأمن السيبراني في أوكرانيا (NCSCC) عن حوادث قيام قراصنة روس برعاية الدولة بتنظيم هجمات على سفارات في جميع أنحاء أوروبا، بما في ذلك إيطاليا واليونان ورومانيا وأذربيجان.

المنسوبة إلى APT29 (المعروفة أيضًا باسم Cloaked Ursa وCozy Bear وIron Hemlock وMidnight Blizzard والمزيد)، تستغل عمليات التطفل هذه ثغرة WinRAR التي تم الكشف عنها مؤخرًا (CVE-2023-38831) من خلال الإغراءات الخادعة، مثل ادعاءات بيع سيارات BMW، أو الموضوع الذي استخدمه في السابق ممثل التهديد.

يبدأ تسلسل الهجوم بتوزيع رسائل البريد الإلكتروني التصيدية على الضحايا والتي تحتوي على رابط لملف ZIP معد خصيصًا. عند الإطلاق، يتم استغلال الخلل لجلب برنامج PowerShell النصي من خادم بعيد مستضاف على Ngrok. إن الاستغلال المتكرر للثغرة الأمنية CVE-2023-38831 من قبل مجموعات القرصنة التابعة لأجهزة المخابرات الروسية يؤكد على شعبيتها المتزايدة وتطورها.

علاوة على ذلك، كشف CERT-UA (فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا) عن معلومات حول حملة تصيد احتيالي تنشر أرشيفات RAR غير الآمنة. يُزعم أن هذه الأرشيفات تحتوي على مستند PDF من جهاز الأمن الأوكراني (SBU). ومع ذلك، في الواقع، فهي تحتوي على ملف قابل للتنفيذ يؤدي إلى نشر Remcos RAT .