LitterDrifter kirminas
Su Rusijos Federaline saugumo tarnyba (FSB) susiję kibernetinio šnipinėjimo darbuotojai buvo aptikti naudojant USB dauginantį kirminą LitterDrifter per išpuolius, nukreiptus prieš Ukrainos subjektus.
Subjektas, organizuojantis šį puolimą, yra identifikuotas kaip Gamaredon , taip pat žinomas tokiais slapyvardžiais kaip Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm ir Winterflounder. Naujausios šių įsilaužėlių strategijos apibūdina grupę kaip vykdančią plačias kampanijas, o po to seka kruopščias duomenų rinkimo pastangas, nukreiptas į konkrečius tikslus. Manoma, kad šių taikinių pasirinkimą lėmė šnipinėjimo tikslai.
Turinys
„LitterDrifter“ išplito už pradinių tikslų
„LitterDrifter“ kirminas gali pasigirti dviem pagrindinėmis funkcijomis: jis automatiškai platina kenkėjišką programą per prijungtus USB diskus ir užmezga ryšį su grėsmės veikėjo komandų ir valdymo (C2, C&C) serveriais. Yra įtarimų, kad tai yra pažanga, palyginti su anksčiau atskleistu „PowerShell“ pagrindu veikiančiu USB kirminu, kurį tyrėjai pristatė 2023 m. birželio mėn.
Sukurtas VBS, skirstytuvo modulis prisiima atsakomybę už diskretišką kirmino paskirstymą USB atmintinėje, kartu su jaukus LNK su atsitiktinai priskirtais pavadinimais. Nomenklatūra „LitterDrifter“ yra kilusi iš pradinio orkestravimo komponento, pavadinto „trash.dll“.
„Gamaredon“ taiko išskirtinį požiūrį į C&C, naudodamas domenus kaip faktinių IP adresų, naudojamų kaip C2 serveriai, vietos rezervavimo ženklus.
Be to, „LitterDrifter“ turi galimybę prisijungti prie C&C serverio, ištraukto iš „Telegram“ kanalo. Šią taktiką grėsmės veikėjas nuolat taikė nuo 2023 m. pradžios. Kibernetinio saugumo ekspertai nustatė galimus infekcijos požymius už Ukrainos ribų, o aptikimai rodo aktyvumą JAV ir Vietname. , Čilė, Lenkija, Vokietija ir Honkongas.
„Gamaredon“ tobulina savo puolimo būdus
Visus einamuosius metus „Gamaredon“ išlaikė aktyvią veiklą, nuosekliai pritaikydama savo puolimo strategijas. 2023 m. liepos mėn. išryškėjo priešininko gebėjimas greitai išfiltruoti duomenis, nes grėsmės veikėjas sugebėjo perduoti neskelbtiną informaciją vos per valandą nuo pradinio kompromiso.
Akivaizdu, kad „LitterDrifter“ buvo specialiai sukurtas tam, kad palengvintų plačią surinkimo operaciją. Naudodama paprastus, bet veiksmingus metodus, kenkėjiška programa užtikrina, kad ji gali pasiekti platų regiono taikinių spektrą.
Grėsmių aktoriai rodo didesnį aktyvumą nuo Rusijos ir Ukrainos karo pradžios
Šie įvykiai sutampa su tuo, kad Ukrainos nacionalinis kibernetinio saugumo koordinavimo centras (NCSCC) atskleidė incidentus, kai valstybės remiami Rusijos įsilaužėliai organizavo atakas prieš ambasadas visoje Europoje, įskaitant Italiją, Graikiją, Rumuniją ir Azerbaidžaną.
APT29 (taip pat žinomas kaip Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard ir kt.), šie įsilaužimai išnaudoja neseniai atskleistą WinRAR pažeidžiamumą (CVE-2023-38831) pasitelkdami apgaulingus masalus, pvz., parduodant BMW. tema, kurią anksčiau naudojo grėsmės veikėjas.
Atakos seka pradedama siunčiant aukoms sukčiavimo el. laiškus, kuriuose yra nuoroda į specialiai sukurtą ZIP failą. Paleidus trūkumas išnaudojamas norint gauti PowerShell scenarijų iš nuotolinio serverio, esančio Ngrok. Pasikartojantis Rusijos žvalgybos tarnybų įsilaužimo grupių išnaudojimas CVE-2023-38831 pažeidžiamumu pabrėžia didėjantį jo populiarumą ir sudėtingumą.
Be to, CERT-UA (Ukrainos kompiuterių avarijų reagavimo komanda) atskleidė informaciją apie sukčiavimo kampaniją, platinančią nesaugius RAR archyvus. Šiuose archyvuose tariamai yra PDF dokumentas iš Ukrainos saugumo tarnybos (SBU). Tačiau iš tikrųjų juose yra vykdomasis failas, kuris veda į Remcos RAT diegimą.
