Червей LitterDrifter
Кибер шпионажи, свързани с Федералната служба за сигурност на Русия (ФСБ), са били засечени да използват червей, разпространяващ се по USB, на име LitterDrifter в атаки, насочени срещу украински организации.
Субектът, организиращ тази офанзива, е идентифициран като Gamaredon , известен също с псевдоними като Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm и Winterflounder. Последните стратегии, използвани от тези хакери, характеризират групата като провеждаща обширни кампании, последвани от щателни усилия за събиране на данни, насочени към конкретни цели. Предполага се, че изборът на тези цели се ръководи от шпионски цели.
Съдържание
LitterDrifter се разпространи отвъд първоначалните си цели
Червеят LitterDrifter може да се похвали с две основни функции: той автоматично разпространява зловреден софтуер чрез свързани USB устройства и установява комуникация със сървърите за командване и управление (C2, C&C) на заплахата. Има подозрения, че представлява напредък от вече разкрит USB червей, базиран на PowerShell, който изследователите разкриха през юни 2023 г.
Изработен във VBS, модулът за разпръскване поема отговорността за дискретното разпространение на червея в рамките на USB устройство, придружен от примамка LNK с произволно зададени имена. Номенклатурата „LitterDrifter“ е извлечена от първоначалния компонент за оркестрация, наречен „trash.dll“.
Gamaredon възприема отличителен подход към C&C, като използва домейни като заместители за действителните IP адреси, използвани като C2 сървъри.
Освен това LitterDrifter проявява способността да се свързва с C&C сървър, извлечен от канал на Telegram, тактика, последователно използвана от заплахата от началото на 2023 г. Експертите по киберсигурност са идентифицирали потенциални признаци на инфекция извън Украйна, като засичанията показват активност в САЩ, Виетнам , Чили, Полша, Германия и Хонконг.
Gamaredon развива техниките си за атака
През цялата текуща година Gamaredon поддържа активно присъствие, като последователно адаптира своите стратегии за атака. През юли 2023 г. бързината на противника при ексфилтриране на данни стана очевидна, тъй като заплахата успя да предаде чувствителна информация само в рамките на един час след първоначалния компромет.
Очевидно е, че LitterDrifter е специално създаден, за да улесни обширна операция по събиране. Използвайки прости, но ефективни техники, зловредният софтуер гарантира, че може да достигне до широк спектър от цели в региона.
Заплахите показват повишена активност от началото на руско-украинската война
Разгръщащите се събития съвпадат с Националния координационен център за киберсигурност на Украйна (NCSCC), който разкрива инциденти на спонсорирани от държавата руски хакери, организиращи атаки срещу посолства в цяла Европа, включително Италия, Гърция, Румъния и Азербайджан.
Приписвани на APT29 (известен също като Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard и други), тези прониквания използват наскоро разкритата уязвимост на WinRAR (CVE-2023-38831) чрез измамни примамки, като твърдения за BMW за продажба, тема, използвана преди това от актьора на заплахата.
Последователността на атаката започва с разпространението на фишинг имейли до жертвите, съдържащи връзка към специално създаден ZIP файл. При стартиране пропускът се използва за извличане на PowerShell скрипт от отдалечен сървър, хостван на Ngrok. Повтарящото се използване на уязвимостта CVE-2023-38831 от хакерски групи на руските разузнавателни служби подчертава нейната нарастваща популярност и сложност.
Освен това CERT-UA (Екипът за компютърно реагиране при извънредни ситуации на Украйна) разкри информация за фишинг кампания, разпространяваща опасни RAR архиви. Тези архиви претендират да съдържат PDF документ от Службата за сигурност на Украйна (SBU). В действителност обаче те съдържат изпълним файл, който води до внедряването на Remcos RAT .
