LitterDrifter Worm
Οι πράκτορες κυβερνοκατασκοπείας που συνδέονται με την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB) εντοπίστηκαν να χρησιμοποιούν ένα σκουλήκι που διαδίδει USB με το όνομα LitterDrifter σε επιθέσεις που στρέφονται κατά ουκρανικών οντοτήτων.
Η οντότητα που ενορχηστρώνει αυτήν την επίθεση προσδιορίζεται ως Gamaredon , επίσης γνωστή με ψευδώνυμα όπως Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm και Winterflounder. Οι πρόσφατες στρατηγικές που χρησιμοποιήθηκαν από αυτούς τους χάκερ χαρακτηρίζουν την ομάδα ότι διεξάγει εκτεταμένες εκστρατείες, ακολουθούμενες από σχολαστικές προσπάθειες συλλογής δεδομένων που στοχεύουν σε συγκεκριμένους στόχους. Η επιλογή αυτών των στόχων θεωρείται ότι καθοδηγείται από στόχους κατασκοπείας.
Πίνακας περιεχομένων
Το LitterDrifter έχει εξαπλωθεί πέρα από τους αρχικούς του στόχους
Το σκουλήκι LitterDrifter διαθέτει δύο κύριες λειτουργίες: διαδίδει αυτόματα το κακόβουλο λογισμικό μέσω συνδεδεμένων μονάδων USB και δημιουργεί επικοινωνία με τους διακομιστές Command-and-Control (C2, C&C) του παράγοντα απειλής. Υπάρχουν υποψίες ότι αντιπροσωπεύει μια πρόοδο από ένα προηγουμένως αποκαλυπτόμενο σκουλήκι USB που βασίζεται σε PowerShell, το οποίο οι ερευνητές παρουσίασαν τον Ιούνιο του 2023.
Κατασκευασμένη σε VBS, η μονάδα διασποράς αναλαμβάνει την ευθύνη της διακριτικής διανομής του ιού τύπου worm μέσα σε μια μονάδα USB, συνοδευόμενη από ένα δόλωμα LNK με τυχαία εκχωρημένα ονόματα. Η ονοματολογία "LitterDrifter" προέρχεται από το αρχικό στοιχείο ενορχήστρωσης που ονομάζεται "trash.dll".
Το Gamaredon υιοθετεί μια ξεχωριστή προσέγγιση στο C&C, χρησιμοποιώντας τομείς ως σύμβολα θέσης για τις πραγματικές διευθύνσεις IP που χρησιμοποιούνται ως διακομιστές C2.
Επιπλέον, το LitterDrifter παρουσιάζει τη δυνατότητα σύνδεσης σε διακομιστή C&C που εξάγεται από ένα κανάλι Telegram, μια τακτική που χρησιμοποιείται σταθερά από τον παράγοντα απειλών από τις αρχές του 2023. Οι ειδικοί στον τομέα της κυβερνοασφάλειας έχουν εντοπίσει πιθανά σημάδια μόλυνσης πέρα από την Ουκρανία, με ανιχνεύσεις που υποδεικνύουν δραστηριότητα στις ΗΠΑ και το Βιετνάμ , Χιλή, Πολωνία, Γερμανία και Χονγκ Κονγκ.
Το Gamaredon εξελίσσει τις τεχνικές επίθεσης του
Καθ' όλη τη διάρκεια του τρέχοντος έτους, η Gamaredon διατήρησε ενεργή παρουσία, προσαρμόζοντας με συνέπεια τις στρατηγικές επίθεσης. Τον Ιούλιο του 2023, έγινε εμφανής η ταχεία ανδρεία του αντιπάλου στη διήθηση δεδομένων, καθώς ο παράγοντας της απειλής κατάφερε να μεταδώσει ευαίσθητες πληροφορίες μέσα σε μόλις μία ώρα από τον αρχικό συμβιβασμό.
Είναι προφανές ότι το LitterDrifter κατασκευάστηκε ειδικά για να διευκολύνει μια εκτεταμένη επιχείρηση συλλογής. Χρησιμοποιώντας απλές αλλά αποτελεσματικές τεχνικές, το κακόβουλο λογισμικό διασφαλίζει ότι μπορεί να φτάσει σε ένα ευρύ φάσμα στόχων στην περιοχή.
Απειλές Οι ηθοποιοί παρουσιάζουν αυξημένη δραστηριότητα από την έναρξη του πολέμου Ρωσίας-Ουκρανίας
Τα γεγονότα που εκτυλίσσονται συμπίπτουν με το Εθνικό Κέντρο Συντονισμού Κυβερνοασφάλειας της Ουκρανίας (NCSCC) που αποκαλύπτει περιστατικά κρατικών χρηματοδοτούμενων Ρώσων χάκερ που ενορχηστρώνουν επιθέσεις σε πρεσβείες σε όλη την Ευρώπη, συμπεριλαμβανομένης της Ιταλίας, της Ελλάδας, της Ρουμανίας και του Αζερμπαϊτζάν.
Αποδίδονται στο APT29 (επίσης γνωστό ως Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard και άλλα), αυτές οι εισβολές εκμεταλλεύονται την ευπάθεια του WinRAR που αποκαλύφθηκε πρόσφατα (CVE-2023-38831) μέσω παραπλανητικών δολωμάτων, όπως αξιώσεις BMW προς πώληση, θέμα που χρησιμοποιούσε προηγουμένως ο ηθοποιός απειλής.
Η ακολουθία επίθεσης ξεκινά με τη διανομή μηνυμάτων ηλεκτρονικού ψαρέματος στα θύματα που περιέχουν έναν σύνδεσμο προς ένα ειδικά δημιουργημένο αρχείο ZIP. Κατά την εκκίνηση, το ελάττωμα αξιοποιείται για την ανάκτηση ενός σεναρίου PowerShell από έναν απομακρυσμένο διακομιστή που φιλοξενείται στο Ngrok. Η επαναλαμβανόμενη εκμετάλλευση της ευπάθειας CVE-2023-38831 από ομάδες χάκερ των ρωσικών υπηρεσιών πληροφοριών υπογραμμίζει την αυξανόμενη δημοτικότητα και την πολυπλοκότητά του.
Επιπλέον, η CERT-UA (η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας) έχει αποκαλύψει πληροφορίες σχετικά με μια εκστρατεία phishing που διαδίδει μη ασφαλή αρχεία RAR. Αυτά τα αρχεία υποτίθεται ότι περιέχουν ένα έγγραφο PDF από την Υπηρεσία Ασφαλείας της Ουκρανίας (SBU). Ωστόσο, στην πραγματικότητα, φιλοξενούν ένα εκτελέσιμο αρχείο που οδηγεί στην ανάπτυξη του Remcos RAT .
