LitterDrifter Worm
Ir atklāti, ka ar Krievijas Federālo drošības dienestu (FSB) saistīti kiberspiegošanas darbinieki uzbrukumos, kas vērsti pret Ukrainas struktūrām, izmantoja USB izplatošu tārpu LitterDrifter.
Vienība, kas organizē šo ofensīvu, ir identificēta kā Gamaredon , kas pazīstama arī ar tādiem pseidonīmiem kā Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm un Winterflounder. Šo hakeru nesen izmantotās stratēģijas raksturo grupu kā plašu kampaņu vadīšanu, kam seko rūpīgi datu vākšanas centieni, kuru mērķis ir konkrēti mērķi. Tiek uzskatīts, ka šo mērķu atlasi nosaka spiegošanas mērķi.
Satura rādītājs
LitterDrifter ir izplatījies pāri saviem sākotnējiem mērķiem
Tārpam LitterDrifter ir divas galvenās funkcijas: tas automātiski izplata ļaunprogrammatūru, izmantojot pievienotos USB diskus, un izveido saziņu ar apdraudējuma aktiera Command-and-Control (C2, C&C) serveriem. Pastāv aizdomas, ka tas ir progress no iepriekš atklātā PowerShell balstītā USB tārpa, kuru pētnieki atklāja 2023. gada jūnijā.
Izkliedētāja modulis, kas izveidots VBS, uzņemas atbildību par tārpa diskrētu izplatīšanu USB diskdzinī kopā ar mānekli LNK ar nejauši piešķirtiem nosaukumiem. Nomenklatūra "LitterDrifter" ir atvasināta no sākotnējā orķestrēšanas komponenta ar nosaukumu "trash.dll".
Gamaredon izmanto atšķirīgu pieeju C&C, izmantojot domēnus kā vietturus faktiskajām IP adresēm, kas tiek izmantotas kā C2 serveri.
Turklāt LitterDrifter ir iespēja izveidot savienojumu ar C&C serveri, kas iegūts no Telegram kanāla, un šo taktiku draudu aktieris konsekventi izmanto kopš 2023. gada sākuma. Kiberdrošības eksperti ir identificējuši iespējamās infekcijas pazīmes ārpus Ukrainas robežām, un konstatējumi liecina par aktivitāti ASV un Vjetnamā. , Čīle, Polija, Vācija un Honkonga.
Gamaredon attīsta savus uzbrukuma paņēmienus
Visa šī gada garumā Gamaredon ir saglabājis aktīvu klātbūtni, konsekventi pielāgojot savas uzbrukuma stratēģijas. 2023. gada jūlijā kļuva acīmredzams pretinieka ātrās datu izfiltrēšanas spējas, jo draudu izpildītājam izdevās pārsūtīt sensitīvu informāciju tikai vienas stundas laikā pēc sākotnējā kompromisa.
Ir skaidrs, ka LitterDrifter tika īpaši izstrādāts, lai atvieglotu plašu savākšanas darbību. Izmantojot vienkāršas, taču efektīvas metodes, ļaunprogrammatūra nodrošina, ka tā var sasniegt plašu mērķu spektru reģionā.
Draudu aktieru izrāde palielina aktivitāti kopš Krievijas un Ukrainas kara sākuma
Notikumi, kas risinās, sakrīt ar to, ka Ukrainas Nacionālais kiberdrošības koordinācijas centrs (NCSCC) atklāja incidentus, kad valsts sponsorēti Krievijas hakeri organizēja uzbrukumus vēstniecībām visā Eiropā, tostarp Itālijā, Grieķijā, Rumānijā un Azerbaidžānā.
Šie ielaušanās gadījumi, kas tiek attiecināti uz APT29 (pazīstami arī kā Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard un citi), izmanto nesen atklāto WinRAR ievainojamību (CVE-2023-38831), izmantojot maldinošus vilinājumus, piemēram, apgalvojumus par BMW pārdošanu. tēma, kuru iepriekš izmantoja draudu aktieris.
Uzbrukuma secība sākas ar pikšķerēšanas e-pasta ziņojumu izplatīšanu upuriem, kas satur saiti uz īpaši izveidotu ZIP failu. Pēc palaišanas defekts tiek izmantots, lai ielādētu PowerShell skriptu no attālā servera, kas mitināts vietnē Ngrok. Krievijas izlūkdienestu hakeru grupas atkārtoti izmanto CVE-2023-38831 ievainojamību, un tas liecina par tās pieaugošo popularitāti un izsmalcinātību.
Turklāt CERT-UA (Ukrainas Computer Emergency Response Team) ir atklājusi informāciju par pikšķerēšanas kampaņu, kas izplata nedrošus RAR arhīvus. Šajos arhīvos, iespējams, ir PDF dokuments no Ukrainas Drošības dienesta (SBU). Tomēr patiesībā tajos ir izpildāms fails, kas noved pie Remcos RAT izvietošanas.
