LitterDrifter Worm
Cyberspionage-agenter med tilknytning til Ruslands Føderale Sikkerhedstjeneste (FSB) er blevet opdaget ved at bruge en USB-forplantende orm ved navn LitterDrifter i overfald rettet mod ukrainske enheder.
Enheden, der orkestrerer denne offensiv, er identificeret som Gamaredon , også kendt under aliaser som Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm og Winterflounder. Nylige strategier anvendt af disse hackere karakteriserer gruppen som at gennemføre omfattende kampagner, efterfulgt af omhyggelige dataindsamlingsbestræbelser rettet mod specifikke mål. Udvælgelsen af disse mål formodes at være drevet af spionagemål.
Indholdsfortegnelse
LitterDrifter har spredt sig ud over sine oprindelige mål
LitterDrifter-ormen kan prale af to primære funktioner: den spreder automatisk malware gennem tilsluttede USB-drev og etablerer kommunikation med trusselsaktørens Command-and-Control (C2, C&C) servere. Der er mistanke om, at det repræsenterer et fremskridt fra en tidligere offentliggjort PowerShell-baseret USB-orm, som forskere afslørede i juni 2023.
Udformet i VBS påtager spredermodulet ansvaret for at distribuere ormen diskret inden for et USB-drev, ledsaget af en lokke-LNK med tilfældigt tildelte navne. Nomenklaturen "LitterDrifter" er afledt af den oprindelige orkestreringskomponent med navnet 'trash.dll'.
Gamaredon anvender en særpræget tilgang til C&C og bruger domæner som pladsholdere for de faktiske IP-adresser, der bruges som C2-servere.
Desuden udviser LitterDrifter evnen til at oprette forbindelse til en C&C-server udvundet fra en Telegram-kanal, en taktik, der konsekvent har været anvendt af trusselsaktøren siden begyndelsen af 2023. Cybersikkerhedseksperter har identificeret potentielle tegn på infektion uden for Ukraine, med detektioner, der indikerer aktivitet i USA, Vietnam , Chile, Polen, Tyskland og Hong Kong.
Gamaredon udvikler sine angrebsteknikker
Gennem det indeværende år har Gamaredon bevaret en aktiv tilstedeværelse og konsekvent tilpasset sine angrebsstrategier. I juli 2023 blev modstanderens hurtige dataeksfiltreringsevne tydelig, da trusselsaktøren formåede at transmittere følsomme oplysninger inden for blot en time efter det første kompromis.
Det er tydeligt, at LitterDrifter er specielt designet til at lette en omfattende indsamlingsoperation. Ved at anvende ligetil, men effektive teknikker, sikrer malwaren, at den kan nå et bredt spektrum af mål i regionen.
Trusselskuespillere viser øget aktivitet siden starten af krigen mellem Rusland og Ukraine
Begivenhederne, der udspiller sig, falder sammen med Ukraines Nationale Cybersikkerhedskoordinationscenter (NCSCC), der afslører hændelser med statssponserede russiske hackere, der orkestrerede angreb på ambassader i hele Europa, herunder Italien, Grækenland, Rumænien og Aserbajdsjan.
Tilskrevet APT29 (også kendt som Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard og mere), udnytter disse indtrængen den nyligt afslørede WinRAR-sårbarhed (CVE-2023-38831) gennem vildledende lokker, såsom påstande om BMW'er til salg, en tema tidligere ansat af trusselsaktøren.
Angrebssekvensen indledes med distribution af phishing-e-mails til ofre, der indeholder et link til en specielt udformet ZIP-fil. Ved lancering udnyttes fejlen til at hente et PowerShell-script fra en ekstern server, der hostes på Ngrok. Russiske efterretningstjenesters tilbagevendende udnyttelse af CVE-2023-38831-sårbarheden af hackergrupper understreger dens stigende popularitet og sofistikering.
Desuden har CERT-UA (Computer Emergency Response Team of Ukraine) afsløret oplysninger om en phishing-kampagne, der formidler usikre RAR-arkiver. Disse arkiver foregiver at indeholde et PDF-dokument fra Ukraines sikkerhedstjeneste (SBU). Men i virkeligheden rummer de en eksekverbar, der fører til implementeringen af Remcos RAT .
