LitterDrifter Worm
Venäjän liittovaltion turvallisuuspalveluun (FSB) liittyvien kybervakoiluoperaattoreiden on havaittu käyttäneen LitterDrifter-nimistä USB-väylää levittävää matoa ukrainalaisiin tahoihin kohdistetuissa hyökkäyksissä.
Tätä hyökkäystä organisoiva taho on tunnistettu Gamaredoniksi , joka tunnetaan myös aliaksilla, kuten Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm ja Winterflounder. Näiden hakkereiden viimeaikaiset strategiat luonnehtivat ryhmälle laajoja kampanjoita, joita seuraa tarkkoja tiedonkeruupyrkimyksiä tiettyihin kohteisiin. Näiden kohteiden valinnan oletetaan johtuvan vakoilutavoitteista.
Sisällysluettelo
LitterDrifter on levinnyt yli alkuperäisten tavoitteidensa
LitterDrifter-matolla on kaksi ensisijaista toimintoa: se levittää haittaohjelmia automaattisesti liitettyjen USB-asemien kautta ja muodostaa yhteyden uhkatekijän komento- ja hallintapalvelimiin (C2, C&C). On epäilyksiä, että se edustaa edistystä aiemmin julkistetusta PowerShell-pohjaisesta USB-matosta, jonka tutkijat paljastivat kesäkuussa 2023.
VBS:llä valmistettu levitinmoduuli ottaa vastuun madon jakamisesta huomaamattomasti USB-asemaan, ja siihen liittyy houkutus-LNK satunnaisesti annetuilla nimillä. Nimikkeistö "LitterDrifter" on johdettu alkuperäisestä orkestrointikomponentista nimeltä "trash.dll".
Gamaredon omaksuu erottuvan lähestymistavan C&C:hen ja käyttää verkkotunnuksia C2-palvelimina käytettävien IP-osoitteiden paikkamerkkinä.
Lisäksi LitterDrifter pystyy muodostamaan yhteyden Telegram-kanavasta erotettuun C&C-palvelimeen, mikä on uhkatoimijan johdonmukaisesti käyttämä taktiikka vuoden 2023 alusta lähtien. Kyberturvallisuusasiantuntijat ovat tunnistaneet mahdollisia tartunnan merkkejä Ukrainan ulkopuolella, ja havainnot osoittavat toimintaa Yhdysvalloissa ja Vietnamissa. , Chilessä, Puolassa, Saksassa ja Hong Kongissa.
Gamaredon kehittää hyökkäystekniikoitaan
Koko kuluvan vuoden Gamaredon on ylläpitänyt aktiivista läsnäoloa ja mukauttanut johdonmukaisesti hyökkäysstrategioitaan. Heinäkuussa 2023 vihollisen nopea datan suodatuskyky tuli ilmeiseksi, kun uhkatekijä onnistui välittämään arkaluonteisia tietoja vain tunnin sisällä alkuperäisestä kompromissista.
On selvää, että LitterDrifter on erityisesti suunniteltu helpottamaan laajaa keräysoperaatiota. Käytännöllisiä mutta tehokkaita tekniikoita käyttävä haittaohjelma varmistaa, että se voi saavuttaa laajan kirjon kohteita alueella.
Uhkanäyttelijät ovat lisänneet toimintaansa Venäjän ja Ukrainan välisen sodan alkamisen jälkeen
Tapahtumat osuvat samaan aikaan kun Ukrainan kansallinen kyberturvallisuuden koordinointikeskus (NCSCC) paljastaa tapauksia, joissa valtion tukemat venäläiset hakkerit organisoivat hyökkäyksiä suurlähetystöihin kaikkialla Euroopassa, mukaan lukien Italiassa, Kreikassa, Romaniassa ja Azerbaidžanissa.
Nämä APT29: n (tunnetaan myös nimellä Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard ja muut) antavat tunkeutumiset hyödyntävät äskettäin paljastettua WinRAR-haavoittuvuutta (CVE-2023-38831) harhaanjohtavilla vieheillä, kuten BMW:n myyntivaatimuksilla. uhkatekijän aiemmin käyttämä teema.
Hyökkäysjakso alkaa tietojenkalasteluviestien jakamisesta uhreille, jotka sisältävät linkin erityisesti muotoiltuun ZIP-tiedostoon. Käynnistyksen yhteydessä virhettä hyödynnetään PowerShell-komentosarjan hakemiseen Ngrokin isännöidyltä etäpalvelimelta. Venäjän tiedustelupalvelujen hakkerointiryhmien toistuva CVE-2023-38831-haavoittuvuuden hyödyntäminen korostaa sen kasvavaa suosiota ja kehittyneisyyttä.
Lisäksi CERT-UA (Ukrainan Computer Emergency Response Team) on paljastanut tietoja tietokalastelukampanjasta, joka levittää vaarallisia RAR-arkistoja. Nämä arkistot väittävät sisältävän PDF-dokumentin Ukrainan turvallisuuspalvelusta (SBU). Todellisuudessa ne sisältävät kuitenkin suoritettavan tiedoston, joka johtaa Remcos RAT: n käyttöönottoon.
