LitterDrifter Worm

פעילי ריגול סייבר הקשורים לשירות הביטחון הפדרלי של רוסיה (FSB) זוהו כשהם משתמשים בתולעת להפצת USB בשם LitterDrifter בהתקפות שהופנו כלפי גופים אוקראינים.

הישות שמתזמרת את ההתקפה הזו מזוהה כ- Gamaredon , הידועה גם בכינויים כמו Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm ו-Winterflounder. אסטרטגיות שנעשו לאחרונה על ידי האקרים אלו מאפיינות את הקבוצה כמנהלת קמפיינים נרחבים, ולאחר מכן מאמצי איסוף נתונים מדוקדקים המכוונים למטרות ספציפיות. ההנחה היא שהבחירה במטרות אלו מונעת על ידי מטרות ריגול.

LitterDrifter התפשט מעבר למטרות הראשוניות שלו

תולעת LitterDrifter מתהדרת בשתי פונקציות עיקריות: היא מפיצה אוטומטית את התוכנה הזדונית דרך כונני USB מחוברים ויוצרת תקשורת עם שרתי הפקודה והבקרה (C2, C&C) של שחקן האיום. ישנם חשדות שזה מייצג התקדמות מתולעת USB מבוססת PowerShell שנחשפה בעבר, שחוקרים חשפו ביוני 2023.

מעוצב ב-VBS, מודול המפזר לוקח על עצמו את האחריות להפיץ את התולעת באופן דיסקרטי בתוך כונן USB, מלווה ב-LNK מטעה עם שמות שהוקצו באקראי. המינוח "LitterDrifter" נגזר ממרכיב התזמור הראשוני בשם 'trash.dll'.

Gamaredon מאמץ גישה ייחודית ל-C&C, תוך שימוש בדומיינים כמצייני מיקום עבור כתובות ה-IP בפועל המשמשות כשרתי C2.

יתרה מזאת, LitterDrifter מציגה את היכולת להתחבר לשרת C&C המופק מערוץ טלגרם, טקטיקה שננקטה באופן עקבי על ידי שחקן האיום מאז תחילת 2023. מומחי אבטחת סייבר זיהו סימנים פוטנציאליים לזיהום מעבר לאוקראינה, עם זיהויים המצביעים על פעילות בארה"ב, וייטנאם , צ'ילה, פולין, גרמניה והונג קונג.

Gamaredon מפתחת את טכניקות ההתקפה שלה

לאורך השנה הנוכחית, Gamaredon שמרה על נוכחות פעילה, תוך התאמת אסטרטגיות ההתקפה שלה באופן עקבי. ביולי 2023, התעוזה המהירה של חילוץ הנתונים של היריב התבררה, שכן שחקן האיום הצליח להעביר מידע רגיש תוך שעה אחת בלבד מהפשרה הראשונית.

ניכר כי LitterDrifter נוצר במיוחד כדי להקל על פעולת איסוף נרחבת. תוך שימוש בטכניקות פשוטות אך יעילות, התוכנה הזדונית מבטיחה שהיא יכולה להגיע לקשת רחבה של יעדים באזור.

שחקנים מאיימים מראים פעילות מוגברת מאז תחילת מלחמת רוסיה-אוקראינה

האירועים המתגלגלים עולים בקנה אחד עם המרכז הלאומי לתיאום אבטחת סייבר של אוקראינה (NCSCC) שחשף תקריות של האקרים רוסים בחסות המדינה, מתזמרים התקפות על שגרירויות ברחבי אירופה, כולל איטליה, יוון, רומניה ואזרבייג'ן.

מיוחסות ל- APT29 (הידוע גם בשם Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard ועוד), חדירות אלה מנצלות את פגיעות ה-WinRAR שהתגלתה לאחרונה (CVE-2023-38831) באמצעות פתיונות מטעים, כגון טענות של מכוניות BMW למכירה, נושא שהועסק בעבר על ידי שחקן האיום.

רצף התקיפה מתחיל עם הפצה של מיילים דיוגים לקורבנות המכילים קישור לקובץ ZIP בעל מבנה מיוחד. עם ההשקה, הפגם מנוצל כדי להביא סקריפט PowerShell משרת מרוחק שמתארח ב-Ngrok. הניצול החוזר של הפגיעות CVE-2023-38831 על ידי קבוצות הפריצה של שירותי הביון הרוסיים מדגיש את הפופולריות והתחכום הגוברים שלה.

יתרה מזאת, CERT-UA (צוות החירום הממוחשב של אוקראינה) חשף מידע על קמפיין דיוג המפיץ ארכיוני RAR לא בטוחים. ארכיונים אלה מתיימרים להכיל מסמך PDF משירות הביטחון של אוקראינה (SBU). עם זאת, במציאות, הם מכילים קובץ הפעלה שמוביל לפריסה של Remcos RAT .