Threat Database Worms Crv LitterDrifter

Crv LitterDrifter

Operativci kibernetičke špijunaže povezani s ruskom Federalnom sigurnosnom službom (FSB) otkriveni su kako koriste crv koji se širi putem USB-a pod nazivom LitterDrifter u napadima usmjerenim na ukrajinske subjekte.

Entitet koji orkestrira ovu ofenzivu identificiran je kao Gamaredon , također poznat pod aliasima kao što su Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm i Winterflounder. Nedavne strategije koje su ovi hakeri koristili karakteriziraju skupinu koja provodi opsežne kampanje, praćene pedantnim naporima prikupljanja podataka usmjerenih na određene mete. Pretpostavlja se da je odabir tih meta vođen ciljevima špijunaže.

LitterDrifter se proširio izvan svojih početnih ciljeva

Crv LitterDrifter ima dvije primarne funkcije: automatski širi zlonamjerni softver putem povezanih USB pogona i uspostavlja komunikaciju s poslužiteljima za naredbu i kontrolu (C2, C&C) aktera prijetnje. Postoje sumnje da predstavlja napredak u odnosu na prethodno otkrivenog USB crva temeljenog na PowerShell-u, kojeg su istraživači predstavili u lipnju 2023.

Izrađen u VBS-u, modul za širenje preuzima odgovornost za diskretnu distribuciju crva unutar USB pogona, popraćen LNK-om mamac s nasumično dodijeljenim imenima. Nomenklatura "LitterDrifter" izvedena je iz početne komponente orkestracije pod nazivom "trash.dll".

Gamaredon usvaja poseban pristup C&C, koristeći domene kao rezervirana mjesta za stvarne IP adrese koje se koriste kao C2 poslužitelji.

Štoviše, LitterDrifter pokazuje sposobnost povezivanja s C&C poslužiteljem izdvojenim s Telegram kanala, što je taktika koju akter prijetnje stalno koristi od početka 2023. Stručnjaci za kibernetičku sigurnost identificirali su potencijalne znakove zaraze izvan Ukrajine, s detekcijama koje ukazuju na aktivnost u SAD-u, Vijetnamu , Čileu, Poljskoj, Njemačkoj i Hong Kongu.

Gamaredon razvija svoje tehnike napada

Tijekom tekuće godine, Gamaredon je zadržao aktivnu prisutnost, dosljedno prilagođavajući svoje strategije napada. U srpnju 2023. protivnikova brza sposobnost eksfiltracije podataka postala je očigledna, budući da je akter prijetnje uspio prenijeti osjetljive informacije unutar samo jednog sata od početne kompromitacije.

Očito je da je LitterDrifter posebno izrađen kako bi olakšao opsežnu operaciju prikupljanja. Koristeći jednostavne, ali učinkovite tehnike, zlonamjerni softver osigurava da može dosegnuti široki spektar ciljeva u regiji.

Akteri prijetnje pokazuju sve veću aktivnost od početka rusko-ukrajinskog rata

Događaji koji se odvijaju podudaraju se s ukrajinskim Nacionalnim koordinacijskim centrom za kibersigurnost (NCSCC) koji je otkrio incidente ruskih hakera pod pokroviteljstvom države koji su orkestrirali napade na veleposlanstva diljem Europe, uključujući Italiju, Grčku, Rumunjsku i Azerbajdžan.

Pripisani APT29 (također poznatom kao Cloaked Ursa, Cosy Bear, Iron Hemlock, Midnight Blizzard i još mnogo toga), ovi upadi iskorištavaju nedavno otkrivenu ranjivost WinRAR (CVE-2023-38831) kroz varljive mamce, kao što su tvrdnje o BMW-ima na prodaju, tema koju je prethodno koristio akter prijetnje.

Sekvenca napada započinje distribucijom phishing e-poruka žrtvama koje sadrže poveznicu na posebno izrađenu ZIP datoteku. Nakon pokretanja, greška se iskorištava za dohvaćanje PowerShell skripte s udaljenog poslužitelja koji se nalazi na Ngroku. Stalno iskorištavanje ranjivosti CVE-2023-38831 od strane hakerskih skupina ruskih obavještajnih službi naglašava njezinu sve veću popularnost i sofisticiranost.

Nadalje, CERT-UA (Ukrajinski tim za odgovor na računalne hitne slučajeve) otkrio je informacije o kampanji krađe identiteta koja širi nesigurne RAR arhive. Ove arhive navodno sadrže PDF dokument Službe sigurnosti Ukrajine (SBU). Međutim, u stvarnosti, oni sadrže izvršnu datoteku koja vodi do postavljanja Remcos RAT-a .

U trendu

Nagledanije

Učitavam...