LitterDrifter Worm
Az orosz Szövetségi Biztonsági Szolgálathoz (FSB) köthető kiberkémszolgálat munkatársait észlelték, akik egy LitterDrifter nevű, USB-n keresztül terjedő férget alkalmaztak az ukrán entitások elleni támadásokban.
Az ezt az offenzívát levezénylő entitást Gamaredonként azonosítják, olyan álnevekkel is ismert, mint az Aqua Blizzard, az Iron Tilden, a Primitive Bear, a Shuckworm és a Winterflounder. A hackerek által a közelmúltban alkalmazott stratégiák úgy jellemzik a csoportot, hogy kiterjedt kampányokat folytatnak, amelyeket aprólékos adatgyűjtési erőfeszítések követnek, amelyek meghatározott célokat céloznak meg. E célpontok kiválasztását feltételezhetően kémkedési célok vezérlik.
Tartalomjegyzék
A LitterDrifter túlterjedt a kezdeti célokon
A LitterDrifter féreg két elsődleges funkcióval büszkélkedhet: automatikusan terjeszti a rosszindulatú programokat a csatlakoztatott USB-meghajtókon keresztül, és kommunikációt létesít a fenyegetettség szereplőjének Command-and-Control (C2, C&C) szervereivel. Fennáll a gyanú, hogy előrelépést jelent egy korábban nyilvánosságra hozott PowerShell-alapú USB-féreghez képest, amelyet a kutatók 2023 júniusában mutattak be.
A VBS-ben kialakított szórómodul felelősséget vállal a féreg diszkrét elosztásáért egy USB-meghajtón belül, véletlenszerűen hozzárendelt nevekkel ellátott csali LNK kíséretében. A "LitterDrifter" nómenklatúra a "trash.dll" nevű kezdeti hangszerelési összetevőből származik.
A Gamaredon sajátos megközelítést alkalmaz a C&C-hez, és a domaineket helyőrzőként használja a C2-kiszolgálóként használt tényleges IP-címekhez.
Ezen túlmenően a LitterDrifter képes csatlakozni egy Telegram csatornából kivont C&C szerverhez, amelyet a fenyegetés szereplői 2023 eleje óta folyamatosan alkalmaznak. A kiberbiztonsági szakértők Ukrajnán kívül is azonosították a fertőzés lehetséges jeleit, és az észlelések az Egyesült Államokban és Vietnamban végzett tevékenységre utalnak. , Chile, Lengyelország, Németország és Hong Kong.
A Gamaredon fejleszti támadási technikáit
A Gamaredon az idei év során folyamatosan aktívan jelen volt, következetesen adaptálta támadási stratégiáit. 2023 júliusában nyilvánvalóvá vált az ellenfél gyors adatszivárgási képessége, mivel a fenyegetettség szereplőjének a kezdeti kompromisszumot követő egy órán belül sikerült bizalmas információkat továbbítania.
Nyilvánvaló, hogy a LitterDriftert kifejezetten egy kiterjedt begyűjtési művelet megkönnyítésére tervezték. Az egyszerű, de hatékony technikákat alkalmazva a rosszindulatú program biztosítja, hogy a régióban a célpontok széles skáláját érje el.
A fenyegetőző szereplők tevékenysége fokozódik az orosz-ukrán háború kezdete óta
A kibontakozó események egybeesnek azzal, hogy az ukrán Nemzeti Kiberbiztonsági Koordinációs Központ (NCSCC) nyilvánosságra hozta azokat az incidenseket, amelyekben államilag támogatott orosz hackerek követtek támadásokat Európa-szerte, köztük Olaszországban, Görögországban, Romániában és Azerbajdzsánban.
Az APT29- nek (más néven Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard és mások) tulajdonított behatolások a nemrégiben feltárt WinRAR sebezhetőséget (CVE-2023-38831) használják ki megtévesztő csalikkal, például BMW-k eladására vonatkozó követelésekkel. a fenyegetés szereplője által korábban alkalmazott téma.
A támadássorozat olyan adathalász e-mailek elosztásával kezdődik, amelyek egy speciálisan kialakított ZIP-fájlra mutató hivatkozást tartalmaznak. Indításkor a hibát kihasználva PowerShell-szkriptet kérnek le az Ngrokon tárolt távoli kiszolgálóról. A CVE-2023-38831 sebezhetőség orosz hírszerző szolgálatok hackercsoportjai általi ismétlődő kihasználása rávilágít a növekvő népszerűségre és kifinomultságra.
Ezenkívül a CERT-UA (az ukrán Computer Emergency Response Team) információkat közölt egy adathalász kampányról, amely nem biztonságos RAR-archívumokat terjeszt. Ezek az archívumok állítólag az Ukrán Biztonsági Szolgálat (SBU) PDF dokumentumát tartalmazzák. A valóságban azonban egy végrehajtható fájlt tartalmaznak, amely a Remcos RAT telepítéséhez vezet.
