کرم LitterDrifter

عوامل جاسوسی سایبری مرتبط با سرویس امنیت فدرال روسیه (FSB) شناسایی شده اند که از یک کرم پخش کننده USB به نام LitterDrifter در حملاتی که به نهادهای اوکراینی انجام می شود استفاده می کنند.

نهادی که این حمله را تنظیم می کند به نام گاماردون شناخته می شود که با نام های مستعار مانند Aqua Blizzard، Iron Tilden، Primitive Bear، Shuckworm و Winterflounder نیز شناخته می شود. استراتژی‌های اخیر به‌کار گرفته شده توسط این هکرها، گروه را به عنوان انجام کمپین‌های گسترده و به دنبال آن تلاش‌های دقیق جمع‌آوری داده‌ها با هدف اهداف خاص مشخص می‌کند. فرض بر این است که انتخاب این اهداف با اهداف جاسوسی انجام می شود.

LitterDrifter فراتر از اهداف اولیه خود گسترش یافته است

کرم LitterDrifter دارای دو عملکرد اصلی است: به طور خودکار بدافزار را از طریق درایوهای USB متصل منتشر می کند و با سرورهای Command-and-Control (C2, C&C) عامل تهدید ارتباط برقرار می کند. گمان هایی وجود دارد که نشان دهنده پیشرفت یک کرم USB مبتنی بر PowerShell است که قبلاً فاش شده بود، که محققان در ژوئن 2023 از آن رونمایی کردند.

ماژول پخش کننده که در VBS ساخته شده است، مسئولیت توزیع محتاطانه کرم را در درایو USB، همراه با یک LNK فریبنده با نام‌های تصادفی به عهده می‌گیرد. نامگذاری "LitterDrifter" از مؤلفه ارکستراسیون اولیه به نام 'trash.dll' مشتق شده است.

Gamaredon یک رویکرد متمایز برای C&C اتخاذ می‌کند و از دامنه‌ها به‌عنوان متغیرهایی برای آدرس‌های IP واقعی استفاده شده به عنوان سرورهای C2 استفاده می‌کند.

علاوه بر این، LitterDrifter قابلیت اتصال به یک سرور C&C استخراج شده از کانال تلگرام را نشان می دهد، تاکتیکی که به طور مداوم توسط عامل تهدید از اوایل سال 2023 به کار گرفته شده است. کارشناسان امنیت سایبری علائم بالقوه عفونت را فراتر از اوکراین شناسایی کرده اند، با شناسایی هایی که نشان دهنده فعالیت در ایالات متحده و ویتنام است. ، شیلی، لهستان، آلمان و هنگ کنگ.

گاماردون در حال توسعه تکنیک های حمله خود است

در طول سال جاری، گاماردون حضور فعال خود را حفظ کرده و به طور مداوم استراتژی های حمله خود را تطبیق داده است. در ژوئیه 2023، قدرت سریع دشمن در استخراج داده ها آشکار شد، زیرا عامل تهدید موفق شد اطلاعات حساس را تنها در عرض یک ساعت پس از مصالحه اولیه مخابره کند.

بدیهی است که LitterDrifter به طور خاص برای تسهیل عملیات جمع آوری گسترده ساخته شده است. این بدافزار با استفاده از تکنیک‌های ساده و در عین حال کارآمد تضمین می‌کند که می‌تواند به طیف وسیعی از اهداف در منطقه برسد.

بازیگران تهدید از زمان شروع جنگ روسیه و اوکراین فعالیت خود را افزایش داده اند

این رویدادها همزمان با مرکز هماهنگی امنیت سایبری ملی اوکراین (NCSCC) است که حوادث هکرهای روسی تحت حمایت دولت را فاش می کند که حملاتی را به سفارتخانه ها در سراسر اروپا از جمله ایتالیا، یونان، رومانی و آذربایجان ترتیب می دهند.

این نفوذها که به APT29 (همچنین با نام‌های Cloaked Ursa، Cozy Bear، Iron Hemlock، Midnight Blizzard و موارد دیگر شناخته می‌شود)، از آسیب‌پذیری WinRAR اخیراً آشکار شده (CVE-2023-38831) از طریق فریب‌های فریبنده، مانند ادعای BMW برای فروش، سوء استفاده می‌کنند. موضوعی که قبلاً توسط بازیگر تهدید استفاده شده بود.

توالی حمله با توزیع ایمیل های فیشینگ به قربانیان آغاز می شود که حاوی پیوندی به یک فایل ZIP ساخته شده ویژه است. پس از راه اندازی، از این نقص برای واکشی یک اسکریپت PowerShell از یک سرور راه دور که در Ngrok میزبانی شده است، سوء استفاده می شود. بهره برداری مکرر از آسیب پذیری CVE-2023-38831 توسط گروه های هکر سرویس های اطلاعاتی روسیه بر محبوبیت و پیچیدگی روزافزون آن تأکید می کند.

علاوه بر این، CERT-UA (تیم واکنش اضطراری رایانه ای اوکراین) اطلاعاتی را در مورد یک کمپین فیشینگ که بایگانی های ناامن RAR را منتشر می کند، افشا کرده است. این آرشیوها حاوی یک سند PDF از سرویس امنیتی اوکراین (SBU) هستند. با این حال، در واقعیت، آنها یک فایل اجرایی را در خود جای می دهند که منجر به استقرار Remcos RAT می شود.