LitterDrifter Worm
Pracovníci kybernetické špionáže napojení na ruskou Federální bezpečnostní službu (FSB) byli odhaleni, jak při útocích namířených proti ukrajinským subjektům používají červa šířícího USB jménem LitterDrifter.
Entita organizující tuto ofenzívu je identifikována jako Gamaredon , známá také pod přezdívkami jako Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm a Winterflounder. Nedávné strategie používané těmito hackery charakterizují skupinu jako vedení rozsáhlých kampaní, po nichž následuje pečlivé shromažďování dat zaměřené na konkrétní cíle. Předpokládá se, že výběr těchto cílů je řízen cíli špionáže.
Obsah
LitterDrifter se rozšířil za své počáteční cíle
Červ LitterDrifter se může pochlubit dvěma primárními funkcemi: automaticky šíří malware prostřednictvím připojených USB disků a navazuje komunikaci se servery Command-and-Control (C2, C&C) aktéra hrozby. Existuje podezření, že představuje pokrok od dříve zveřejněného USB červa založeného na PowerShell, který výzkumníci odhalili v červnu 2023.
Rozšiřovací modul, vytvořený ve VBS, přebírá odpovědnost za diskrétní distribuci červa na USB disku spolu s návnadou LNK s náhodně přiřazenými jmény. Nomenklatura "LitterDrifter" je odvozena z počáteční složky orchestrace s názvem 'trash.dll.'
Gamaredon zaujímá charakteristický přístup k C&C a využívá domény jako zástupné symboly pro skutečné IP adresy používané jako servery C2.
LitterDrifter navíc vykazuje schopnost připojit se k serveru C&C extrahovanému z kanálu Telegram, což je taktika, kterou hrozba neustále používá od začátku roku 2023. Odborníci na kybernetickou bezpečnost identifikovali potenciální známky infekce mimo Ukrajinu, přičemž detekce naznačovaly aktivitu v USA, Vietnamu , Chile, Polsko, Německo a Hong Kong.
Gamaredon vyvíjí své útočné techniky
Během tohoto roku si Gamaredon udržoval aktivní přítomnost a důsledně přizpůsoboval své útočné strategie. V červenci 2023 se protivníkova schopnost rychlé exfiltrace dat projevila, když se aktérovi hrozby podařilo předat citlivé informace během pouhé jedné hodiny od prvního kompromisu.
Je zřejmé, že LitterDrifter byl speciálně vytvořen tak, aby usnadnil rozsáhlou sběrnou operaci. Pomocí jednoduchých, ale účinných technik malware zajišťuje, že může dosáhnout širokého spektra cílů v regionu.
Aktéři hrozeb vykazují zvýšenou aktivitu od začátku rusko-ukrajinské války
Rozvíjející se události se shodují s ukrajinským Národním koordinačním centrem pro kybernetickou bezpečnost (NCSCC), které odhalilo incidenty státem podporovaných ruských hackerů organizujících útoky na ambasády po celé Evropě, včetně Itálie, Řecka, Rumunska a Ázerbájdžánu.
Tyto průniky, připisované APT29 (také známé jako Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard a další), využívají nedávno odhalenou zranitelnost WinRAR (CVE-2023-38831) prostřednictvím klamných návnad, jako jsou nároky na prodej BMW. téma dříve používané aktérem hrozby.
Sekvence útoku začíná rozesláním phishingových e-mailů obětem obsahujících odkaz na speciálně vytvořený soubor ZIP. Po spuštění je chyba zneužita k načtení skriptu PowerShell ze vzdáleného serveru hostovaného na Ngroku. Opakované zneužívání zranitelnosti CVE-2023-38831 hackerskými skupinami ruských zpravodajských služeb podtrhuje její rostoucí popularitu a sofistikovanost.
Kromě toho CERT-UA (Ukrajinský tým pro počítačovou nouzovou reakci) zveřejnil informace o phishingové kampani šířící nebezpečné archivy RAR. Tyto archivy mají obsahovat dokument PDF od Bezpečnostní služby Ukrajiny (SBU). Ve skutečnosti však obsahují spustitelný soubor, který vede k nasazení Remcos RAT .
