Verme vagabondo
Sono stati rilevati agenti di spionaggio informatico collegati al Servizio di sicurezza federale russo (FSB) che impiegano un worm di propagazione USB denominato LitterDrifter in attacchi diretti contro entità ucraine.
L'entità che orchestra questa offensiva è identificata come Gamaredon , conosciuta anche con alias come Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm e Winterflounder. Le recenti strategie impiegate da questi hacker caratterizzano il gruppo che conduce campagne estese, seguite da meticolosi sforzi di raccolta dati mirati a obiettivi specifici. Si presume che la selezione di questi obiettivi sia guidata da obiettivi di spionaggio.
Sommario
LitterDrifter si è diffuso oltre i suoi obiettivi iniziali
Il worm LitterDrifter vanta due funzionalità principali: diffonde automaticamente il malware attraverso unità USB collegate e stabilisce una comunicazione con i server Command-and-Control (C2, C&C) dell'autore della minaccia. Si sospetta che rappresenti un progresso rispetto a un worm USB basato su PowerShell precedentemente divulgato, che i ricercatori hanno presentato nel giugno 2023.
Realizzato in VBS, il modulo di diffusione si assume la responsabilità di distribuire discretamente il worm all'interno di un'unità USB, accompagnato da un LNK esca con nomi assegnati in modo casuale. La nomenclatura "LitterDrifter" deriva dal componente di orchestrazione iniziale denominato "trash.dll".
Gamaredon adotta un approccio distintivo al C&C, utilizzando i domini come segnaposto per gli effettivi indirizzi IP utilizzati come server C2.
Inoltre, LitterDrifter mostra la capacità di connettersi a un server C&C estratto da un canale Telegram, una tattica costantemente utilizzata dall'autore della minaccia dall'inizio del 2023. Gli esperti di sicurezza informatica hanno identificato potenziali segni di infezione oltre l'Ucraina, con rilevamenti che indicano attività negli Stati Uniti, in Vietnam , Cile, Polonia, Germania e Hong Kong.
Gamaredon sta evolvendo le sue tecniche di attacco
Durante tutto l'anno in corso, Gamaredon ha mantenuto una presenza attiva, adattando costantemente le sue strategie di attacco. Nel luglio 2023, la rapida abilità dell’aggressore nell’esfiltrazione dei dati è diventata evidente, poiché l’autore della minaccia è riuscito a trasmettere informazioni sensibili entro appena un’ora dalla compromissione iniziale.
È evidente che LitterDrifter è stato realizzato appositamente per facilitare un'ampia operazione di raccolta. Utilizzando tecniche semplici ma efficienti, il malware garantisce di poter raggiungere un ampio spettro di obiettivi nella regione.
Gli autori delle minacce mostrano un’attività in aumento dall’inizio della guerra Russia-Ucraina
Gli eventi in corso coincidono con la scoperta da parte del Centro nazionale di coordinamento della sicurezza informatica (NCSCC) dell’Ucraina di episodi di hacker russi sponsorizzati dallo stato che hanno orchestrato attacchi alle ambasciate in tutta Europa, tra cui Italia, Grecia, Romania e Azerbaigian.
Attribuite ad APT29 (noto anche come Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard e altri), queste intrusioni sfruttano la vulnerabilità WinRAR recentemente rivelata (CVE-2023-38831) attraverso esche ingannevoli, come affermazioni di BMW in vendita, un tema precedentemente utilizzato dall'attore della minaccia.
La sequenza dell'attacco inizia con la distribuzione alle vittime di e-mail di phishing contenenti un collegamento a un file ZIP appositamente predisposto. All'avvio, la falla viene sfruttata per recuperare uno script PowerShell da un server remoto ospitato su Ngrok. Lo sfruttamento ricorrente della vulnerabilità CVE-2023-38831 da parte di gruppi di hacker dei servizi segreti russi ne sottolinea la crescente popolarità e sofisticatezza.
Inoltre, il CERT-UA (il Computer Emergency Response Team dell'Ucraina) ha diffuso informazioni su una campagna di phishing che diffondeva archivi RAR non sicuri. Questi archivi pretendono di contenere un documento PDF del Servizio di sicurezza dell'Ucraina (SBU). Tuttavia, in realtà, ospitano un eseguibile che porta all'implementazione di Remcos RAT .
