LitterDrifter Worm
Nettspionasjeoperatører knyttet til Russlands føderale sikkerhetstjeneste (FSB) har blitt oppdaget som bruker en USB-forplantende orm kalt LitterDrifter i overgrep rettet mot ukrainske enheter.
Enheten som orkestrerer denne offensiven er identifisert som Gamaredon , også kjent under aliaser som Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm og Winterflounder. Nylige strategier brukt av disse hackerne karakteriserer gruppen som å gjennomføre omfattende kampanjer, etterfulgt av grundige datainnsamlingsinnsats rettet mot spesifikke mål. Valget av disse målene antas å være drevet av spionasjemål.
Innholdsfortegnelse
LitterDrifter har spredt seg utover de opprinnelige målene
LitterDrifter-ormen har to primære funksjoner: den sprer automatisk skadelig programvare gjennom tilkoblede USB-stasjoner og etablerer kommunikasjon med trusselaktørens Command-and-Control-servere (C2, C&C). Det er mistanker om at det representerer et fremskritt fra en tidligere avslørt PowerShell-basert USB-orm, som forskere avduket i juni 2023.
Laget i VBS, tar spredermodulen på seg ansvaret for å distribuere ormen diskret innenfor en USB-stasjon, ledsaget av en lokke-LNK med tilfeldig tildelte navn. Nomenklaturen "LitterDrifter" er avledet fra den opprinnelige orkestreringskomponenten kalt 'trash.dll.'
Gamaredon bruker en særegen tilnærming til C&C, og bruker domener som plassholdere for de faktiske IP-adressene som brukes som C2-servere.
Dessuten viser LitterDrifter muligheten til å koble til en C&C-server hentet fra en Telegram-kanal, en taktikk som har vært konsekvent brukt av trusselaktøren siden tidlig i 2023. Eksperter på nettsikkerhet har identifisert potensielle tegn på infeksjon utenfor Ukraina, med deteksjoner som indikerer aktivitet i USA, Vietnam , Chile, Polen, Tyskland og Hong Kong.
Gamaredon utvikler sine angrepsteknikker
Gjennom det inneværende året har Gamaredon opprettholdt en aktiv tilstedeværelse og konsekvent tilpasset angrepsstrategiene sine. I juli 2023 ble motstanderens raske dataeksfiltreringsevne tydelig, da trusselaktøren klarte å overføre sensitiv informasjon innen bare én time etter det første kompromisset.
Det er tydelig at LitterDrifter ble spesielt laget for å lette en omfattende innsamlingsoperasjon. Ved å bruke enkle, men effektive teknikker, sikrer skadelig programvare at den kan nå et bredt spekter av mål i regionen.
Trusselskuespillere viser økt aktivitet siden starten av krigen mellom Russland og Ukraina
Begivenhetene som utspiller seg sammenfaller med at Ukrainas nasjonale koordineringssenter for cybersikkerhet (NCSCC) avslører hendelser med statsstøttede russiske hackere som orkestrerte angrep på ambassader over hele Europa, inkludert Italia, Hellas, Romania og Aserbajdsjan.
Tilskrevet APT29 (også kjent som Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard og mer), utnytter disse inntrengingene den nylig avslørte WinRAR-sårbarheten (CVE-2023-38831) gjennom villedende lokker, for eksempel påstander om BMW-er til salgs, en tema tidligere ansatt av trusselaktøren.
Angrepssekvensen starter med distribusjon av phishing-e-poster til ofre som inneholder en lenke til en spesiallaget ZIP-fil. Ved lansering blir feilen utnyttet til å hente et PowerShell-skript fra en ekstern server som er vert på Ngrok. Den tilbakevendende utnyttelsen av CVE-2023-38831-sårbarheten av hackergrupper fra russiske etterretningstjenester understreker dens økende popularitet og sofistikering.
Videre har CERT-UA (Computer Emergency Response Team of Ukraine) avslørt informasjon om en phishing-kampanje som sprer usikre RAR-arkiver. Disse arkivene hevder å inneholde et PDF-dokument fra Ukrainas sikkerhetstjeneste (SBU). Imidlertid inneholder de i virkeligheten en kjørbar fil som fører til utrullingen av Remcos RAT .
