LitterDrifter Cuc
S'han detectat agents d'espionatge cibernètic vinculats al Servei Federal de Seguretat (FSB) de Rússia que utilitzen un cuc de propagació d'USB anomenat LitterDrifter en atacs dirigits a entitats ucraïneses.
L'entitat que orquestra aquesta ofensiva s'identifica com Gamaredon , també coneguda per àlies com Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm i Winterflounder. Les estratègies recents emprades per aquests pirates informàtics caracteritzen el grup com la realització de campanyes àmplies, seguides d'esforços meticulosos de recollida de dades dirigits a objectius específics. Es suposa que la selecció d'aquests objectius està impulsada per objectius d'espionatge.
Taula de continguts
LitterDrifter s'ha estès més enllà dels seus objectius inicials
El cuc LitterDrifter compta amb dues funcionalitats principals: difon automàticament el programari maliciós mitjançant unitats USB connectades i estableix la comunicació amb els servidors de comandament i control (C2, C&C) de l'actor de l'amenaça. Hi ha sospita que representa un avenç d'un cuc USB basat en PowerShell revelat anteriorment, que els investigadors van donar a conèixer el juny de 2023.
Creat a VBS, el mòdul d'escampament assumeix la responsabilitat de distribuir el cuc de manera discreta dins d'una unitat USB, acompanyat d'un LNK señuelo amb noms assignats aleatòriament. La nomenclatura "LitterDrifter" deriva del component d'orquestració inicial anomenat "trash.dll".
Gamaredon adopta un enfocament distintiu del C&C, utilitzant dominis com a marcadors de posició per a les adreces IP reals emprades com a servidors C2.
A més, LitterDrifter mostra la capacitat de connectar-se a un servidor C&C extret d'un canal de Telegram, una tàctica utilitzada constantment per l'actor d'amenaces des de principis de 2023. Els experts en ciberseguretat han identificat possibles signes d'infecció més enllà d'Ucraïna, amb deteccions que indiquen activitat als EUA i Vietnam. , Xile, Polònia, Alemanya i Hong Kong.
Gamaredon està evolucionant les seves tècniques d'atac
Durant l'any en curs, Gamaredon ha mantingut una presència activa, adaptant constantment les seves estratègies d'atac. El juliol de 2023, es va fer evident la ràpida habilitat d'exfiltració de dades de l'adversari, ja que l'actor de l'amenaça va aconseguir transmetre informació sensible en només una hora després del compromís inicial.
És evident que LitterDrifter va ser dissenyat específicament per facilitar una àmplia operació de recollida. Utilitzant tècniques senzilles però eficients, el programari maliciós garanteix que pot arribar a un ampli espectre d'objectius a la regió.
Els actors d'amenaça mostren un augment de l'activitat des de l'inici de la guerra entre Rússia i Ucraïna
Els esdeveniments que es desenvolupen coincideixen amb el Centre Nacional de Coordinació de Ciberseguretat (NCSCC) d'Ucraïna que va revelar incidents de pirates informàtics russos patrocinats per l'estat orquestrant atacs a ambaixades d'arreu d'Europa, incloses Itàlia, Grècia, Romania i Azerbaidjan.
Atribuïdes a APT29 (també coneguda com Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard i més), aquestes intrusions exploten la vulnerabilitat WinRAR revelada recentment (CVE-2023-38831) mitjançant esquers enganyosos, com les reclamacions de BMWs a la venda, un tema utilitzat anteriorment per l'actor d'amenaça.
La seqüència d'atac s'inicia amb la distribució de correus electrònics de pesca a les víctimes que contenen un enllaç a un fitxer ZIP especialment dissenyat. En iniciar-se, la fallada s'aprofita per obtenir un script de PowerShell des d'un servidor remot allotjat a Ngrok. L'explotació recurrent de la vulnerabilitat CVE-2023-38831 per part dels grups de pirateria dels serveis d'intel·ligència russos posa de manifest la seva creixent popularitat i sofisticació.
A més, el CERT-UA (l'equip de resposta a emergències informàtiques d'Ucraïna) ha divulgat informació sobre una campanya de pesca que difon arxius RAR insegurs. Aquests arxius pretenen contenir un document PDF del Servei de Seguretat d'Ucraïna (SBU). No obstant això, en realitat, alberguen un executable que porta al desplegament del Remcos RAT .
