کرم LitterDrifter
عوامل جاسوسی سایبری مرتبط با سرویس امنیت فدرال روسیه (FSB) شناسایی شده اند که از یک کرم پخش کننده USB به نام LitterDrifter در حملاتی که به نهادهای اوکراینی انجام می شود استفاده می کنند.
نهادی که این حمله را تنظیم می کند به نام گاماردون شناخته می شود که با نام های مستعار مانند Aqua Blizzard، Iron Tilden، Primitive Bear، Shuckworm و Winterflounder نیز شناخته می شود. استراتژیهای اخیر بهکار گرفته شده توسط این هکرها، گروه را به عنوان انجام کمپینهای گسترده و به دنبال آن تلاشهای دقیق جمعآوری دادهها با هدف اهداف خاص مشخص میکند. فرض بر این است که انتخاب این اهداف با اهداف جاسوسی انجام می شود.
فهرست مطالب
LitterDrifter فراتر از اهداف اولیه خود گسترش یافته است
کرم LitterDrifter دارای دو عملکرد اصلی است: به طور خودکار بدافزار را از طریق درایوهای USB متصل منتشر می کند و با سرورهای Command-and-Control (C2, C&C) عامل تهدید ارتباط برقرار می کند. گمان هایی وجود دارد که نشان دهنده پیشرفت یک کرم USB مبتنی بر PowerShell است که قبلاً فاش شده بود، که محققان در ژوئن 2023 از آن رونمایی کردند.
ماژول پخش کننده که در VBS ساخته شده است، مسئولیت توزیع محتاطانه کرم را در درایو USB، همراه با یک LNK فریبنده با نامهای تصادفی به عهده میگیرد. نامگذاری "LitterDrifter" از مؤلفه ارکستراسیون اولیه به نام 'trash.dll' مشتق شده است.
Gamaredon یک رویکرد متمایز برای C&C اتخاذ میکند و از دامنهها بهعنوان متغیرهایی برای آدرسهای IP واقعی استفاده شده به عنوان سرورهای C2 استفاده میکند.
علاوه بر این، LitterDrifter قابلیت اتصال به یک سرور C&C استخراج شده از کانال تلگرام را نشان می دهد، تاکتیکی که به طور مداوم توسط عامل تهدید از اوایل سال 2023 به کار گرفته شده است. کارشناسان امنیت سایبری علائم بالقوه عفونت را فراتر از اوکراین شناسایی کرده اند، با شناسایی هایی که نشان دهنده فعالیت در ایالات متحده و ویتنام است. ، شیلی، لهستان، آلمان و هنگ کنگ.
گاماردون در حال توسعه تکنیک های حمله خود است
در طول سال جاری، گاماردون حضور فعال خود را حفظ کرده و به طور مداوم استراتژی های حمله خود را تطبیق داده است. در ژوئیه 2023، قدرت سریع دشمن در استخراج داده ها آشکار شد، زیرا عامل تهدید موفق شد اطلاعات حساس را تنها در عرض یک ساعت پس از مصالحه اولیه مخابره کند.
بدیهی است که LitterDrifter به طور خاص برای تسهیل عملیات جمع آوری گسترده ساخته شده است. این بدافزار با استفاده از تکنیکهای ساده و در عین حال کارآمد تضمین میکند که میتواند به طیف وسیعی از اهداف در منطقه برسد.
بازیگران تهدید از زمان شروع جنگ روسیه و اوکراین فعالیت خود را افزایش داده اند
این رویدادها همزمان با مرکز هماهنگی امنیت سایبری ملی اوکراین (NCSCC) است که حوادث هکرهای روسی تحت حمایت دولت را فاش می کند که حملاتی را به سفارتخانه ها در سراسر اروپا از جمله ایتالیا، یونان، رومانی و آذربایجان ترتیب می دهند.
این نفوذها که به APT29 (همچنین با نامهای Cloaked Ursa، Cozy Bear، Iron Hemlock، Midnight Blizzard و موارد دیگر شناخته میشود)، از آسیبپذیری WinRAR اخیراً آشکار شده (CVE-2023-38831) از طریق فریبهای فریبنده، مانند ادعای BMW برای فروش، سوء استفاده میکنند. موضوعی که قبلاً توسط بازیگر تهدید استفاده شده بود.
توالی حمله با توزیع ایمیل های فیشینگ به قربانیان آغاز می شود که حاوی پیوندی به یک فایل ZIP ساخته شده ویژه است. پس از راه اندازی، از این نقص برای واکشی یک اسکریپت PowerShell از یک سرور راه دور که در Ngrok میزبانی شده است، سوء استفاده می شود. بهره برداری مکرر از آسیب پذیری CVE-2023-38831 توسط گروه های هکر سرویس های اطلاعاتی روسیه بر محبوبیت و پیچیدگی روزافزون آن تأکید می کند.
علاوه بر این، CERT-UA (تیم واکنش اضطراری رایانه ای اوکراین) اطلاعاتی را در مورد یک کمپین فیشینگ که بایگانی های ناامن RAR را منتشر می کند، افشا کرده است. این آرشیوها حاوی یک سند PDF از سرویس امنیتی اوکراین (SBU) هستند. با این حال، در واقعیت، آنها یک فایل اجرایی را در خود جای می دهند که منجر به استقرار Remcos RAT می شود.