LitterDrifter Worm
Avastati Venemaa föderaalse julgeolekuteenistusega (FSB) seotud küberspionaažioperaatorid, kes kasutasid Ukraina üksuste vastu suunatud rünnakutes USB kaudu levivat ussi nimega LitterDrifter.
Seda rünnakut korraldav üksus on identifitseeritud Gamaredonina , mida tuntakse ka varjunimede järgi nagu Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm ja Winterflounder. Nende häkkerite hiljutised strateegiad iseloomustavad seda rühma kui ulatuslike kampaaniate läbiviimist, millele järgnesid täpsed andmete kogumise jõupingutused, mis on suunatud konkreetsetele sihtmärkidele. Eeldatakse, et nende sihtmärkide valikul on spionaažieesmärgid.
Sisukord
LitterDrifter on oma esialgsetest eesmärkidest kaugemale jõudnud
LitterDrifteri ussil on kaks peamist funktsiooni: see levitab pahavara automaatselt ühendatud USB-draivide kaudu ja loob side ohustajate käsu-ja juhtimise (C2, C&C) serveritega. On kahtlusi, et see kujutab endast edasiminekut varem avalikustatud PowerShellil põhinevast USB-ussist, mille teadlased avalikustasid 2023. aasta juunis.
VBS-is valmistatud jaotusmoodul võtab vastutuse ussi diskreetse levitamise eest USB-draivi sees, millele on lisatud juhuslikult määratud nimedega peibutus-LNK. Nomenklatuur "LitterDrifter" on tuletatud algsest orkestreerimiskomponendist nimega "trash.dll".
Gamaredon kasutab C&C-le omanäolist lähenemist, kasutades domeene C2-serveritena kasutatavate tegelike IP-aadresside kohahoidjatena.
Lisaks on LitterDrifteril võimalus luua ühendus Telegrami kanalist eraldatud C&C-serveriga – seda taktikat on ohus osaleja järjekindlalt kasutanud alates 2023. aasta algusest. Küberjulgeolekueksperdid on tuvastanud potentsiaalseid nakkuse märke väljaspool Ukrainat ning avastused näitavad aktiivsust USA-s ja Vietnamis. , Tšiili, Poola, Saksamaa ja Hongkong.
Gamaredon arendab oma ründetehnikaid
Kogu jooksva aasta jooksul on Gamaredon säilitanud aktiivse kohaloleku, kohandades järjekindlalt oma rünnakustrateegiaid. 2023. aasta juulis ilmnes vastase kiire andmete väljafiltreerimise võime, kuna ohus osaleja suutis tundlikku teavet edastada vaid ühe tunni jooksul pärast esialgset kompromissi.
On ilmne, et LitterDrifter loodi spetsiaalselt ulatusliku kogumistoimingu hõlbustamiseks. Kasutades lihtsaid, kuid tõhusaid tehnikaid, tagab pahavara, et see võib jõuda piirkonnas paljude sihtmärkideni.
Ohunäitlejad suurendavad aktiivsust alates Venemaa-Ukraina sõja algusest
Sündmused langevad kokku sellega, et Ukraina riiklik küberjulgeoleku koordineerimiskeskus (NCSCC) avalikustas juhtumid, kus riiklikult toetatud Venemaa häkkerid korraldasid rünnakuid saatkondadele kogu Euroopas, sealhulgas Itaalias, Kreekas, Rumeenias ja Aserbaidžaanis.
APT29- le (tuntud ka kui Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard ja palju muud) omistatud sissetungid kasutavad ära hiljuti paljastatud WinRAR-i haavatavust (CVE-2023-38831) petlike peibutusviiside kaudu, nagu näiteks BMW-de müügiavaldused. ohunäitleja varem kasutatud teema.
Rünnakute jada algab ohvritele andmepüügimeilide jagamisega, mis sisaldavad linki spetsiaalselt koostatud ZIP-failile. Käivitamisel kasutatakse viga PowerShelli skripti toomiseks Ngrokis hostitud kaugserverist. CVE-2023-38831 haavatavuse korduv ärakasutamine Venemaa luureteenistuste häkkimisrühmade poolt rõhutab selle kasvavat populaarsust ja keerukust.
Lisaks on CERT-UA (Ukraina arvutihädade reageerimise meeskond) avaldanud teabe andmepüügikampaania kohta, mis levitab ebaturvalisi RAR-arhiive. Need arhiivid sisaldavad väidetavalt Ukraina julgeolekuteenistuse (SBU) PDF-dokumenti. Kuid tegelikkuses sisaldavad need käivitatavat faili, mis viib Remcos RATi juurutamiseni.
