Cacing Pembuang Sampah
Koperasi pengintipan siber yang dikaitkan dengan Perkhidmatan Keselamatan Persekutuan (FSB) Rusia telah dikesan menggunakan cecacing penyebaran USB bernama LitterDrifter dalam serangan yang ditujukan kepada entiti Ukraine.
Entiti yang mengatur serangan ini dikenal pasti sebagai Gamaredon , juga dikenali dengan alias seperti Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm dan Winterflounder. Strategi terkini yang digunakan oleh penggodam ini mencirikan kumpulan itu sebagai menjalankan kempen yang meluas, diikuti dengan usaha pengumpulan data yang teliti bertujuan untuk sasaran tertentu. Pemilihan sasaran ini dianggap didorong oleh objektif pengintipan.
Isi kandungan
LitterDrifter Telah Menjangkaui Sasaran Awalnya
Cacing LitterDrifter mempunyai dua fungsi utama: ia secara automatik menyebarkan perisian hasad melalui pemacu USB yang disambungkan dan mewujudkan komunikasi dengan pelayan Perintah-dan-Kawalan (C2, C&C) pelaku ancaman. Terdapat syak wasangka bahawa ia mewakili kemajuan daripada cecacing USB berasaskan PowerShell yang didedahkan sebelum ini, yang didedahkan oleh penyelidik pada Jun 2023.
Dicipta dalam VBS, modul penyebar mengambil tanggungjawab untuk mengedarkan cecacing secara diam-diam dalam pemacu USB, disertai dengan LNK penipu dengan nama yang diberikan secara rawak. Nomenklatur "LitterDrifter" diperoleh daripada komponen orkestrasi awal bernama 'trash.dll.'
Gamaredon menggunakan pendekatan tersendiri kepada C&C, menggunakan domain sebagai ruang letak untuk alamat IP sebenar yang digunakan sebagai pelayan C2.
Selain itu, LitterDrifter mempamerkan keupayaan untuk menyambung ke pelayan C&C yang diekstrak daripada saluran Telegram, taktik yang digunakan secara konsisten oleh aktor ancaman sejak awal 2023. Pakar keselamatan siber telah mengenal pasti tanda-tanda jangkitan yang berpotensi di luar Ukraine, dengan pengesanan menunjukkan aktiviti di AS, Vietnam , Chile, Poland, Jerman dan Hong Kong.
Gamaredon sedang mengembangkan Teknik Serangannya
Sepanjang tahun semasa, Gamaredon telah mengekalkan kehadiran aktif, secara konsisten menyesuaikan strategi serangannya. Pada Julai 2023, kehebatan penyingkiran data pantas musuh menjadi jelas, kerana pelaku ancaman berjaya menghantar maklumat sensitif dalam masa satu jam sahaja dari kompromi awal.
Jelas sekali bahawa LitterDrifter telah direka khusus untuk memudahkan operasi pengumpulan yang meluas. Menggunakan teknik yang mudah tetapi cekap, perisian hasad memastikan ia boleh mencapai spektrum sasaran yang luas di rantau ini.
Pelakon Ancaman Menunjukkan Peningkatan Aktiviti Sejak Bermulanya Perang Rusia-Ukraine
Peristiwa yang berlaku bertepatan dengan Pusat Penyelarasan Keselamatan Siber Kebangsaan (NCSCC) Ukraine mendedahkan insiden penggodam Rusia tajaan kerajaan yang mendalangi serangan ke atas kedutaan di seluruh Eropah, termasuk Itali, Greece, Romania dan Azerbaijan.
Disebabkan oleh APT29 (juga dikenali sebagai Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard dan banyak lagi), pencerobohan ini mengeksploitasi kerentanan WinRAR (CVE-2023-38831) yang didedahkan baru-baru ini melalui gewang yang memperdaya, seperti dakwaan BMW untuk dijual, a tema yang digunakan sebelum ini oleh pelakon ancaman.
Urutan serangan dimulakan dengan pengedaran e-mel pancingan data kepada mangsa yang mengandungi pautan ke fail ZIP yang dibuat khas. Selepas pelancaran, kecacatan itu dieksploitasi untuk mengambil skrip PowerShell daripada pelayan jauh yang dihoskan pada Ngrok. Eksploitasi berulang terhadap kerentanan CVE-2023-38831 oleh kumpulan penggodam perkhidmatan perisikan Rusia menggariskan populariti dan kecanggihannya yang semakin meningkat.
Tambahan pula, CERT-UA (Pasukan Tindak Balas Kecemasan Komputer Ukraine) telah mendedahkan maklumat tentang kempen pancingan data yang menyebarkan arkib RAR yang tidak selamat. Arkib ini dikatakan mengandungi dokumen PDF daripada Perkhidmatan Keselamatan Ukraine (SBU). Walau bagaimanapun, pada hakikatnya, mereka menempatkan executable yang membawa kepada penggunaan Remcos RAT .
