LitterDrifter कीरा
रूसको संघीय सुरक्षा सेवा (FSB) सँग सम्बन्धित साइबर जासुसी अपरेटिभहरूले युक्रेनी संस्थाहरूमा निर्देशित आक्रमणहरूमा LitterDrifter नामक USB-प्रसार गर्ने कीरा प्रयोग गरेको पत्ता लागेको छ।
यस आक्रामक कार्यको आयोजना गर्ने निकायलाई Gamaredon को रूपमा चिनिन्छ, जसलाई Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm र Winterflounder जस्ता उपनामहरू द्वारा पनि चिनिन्छ। यी ह्याकरहरूद्वारा नियोजित हालैका रणनीतिहरूले समूहलाई विस्तृत अभियानहरू सञ्चालन गर्ने रूपमा चित्रण गर्दछ, त्यसपछि विशेष लक्ष्यहरूमा लक्षित डेटा सङ्कलन प्रयासहरू। यी लक्ष्यहरूको चयन जासुसी उद्देश्यहरूद्वारा संचालित भएको मानिन्छ।
सामग्रीको तालिका
LitterDrifter यसको प्रारम्भिक लक्ष्य भन्दा बाहिर फैलिएको छ
LitterDrifter वर्मले दुई प्राथमिक प्रकार्यताहरू समेट्छ: यसले स्वचालित रूपमा जडान USB ड्राइभहरू मार्फत मालवेयर फैलाउँछ र खतरा अभिनेताको कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) सर्भरहरूसँग सञ्चार स्थापना गर्दछ। त्यहाँ शंकाहरू छन् कि यसले अघिल्लो खुलासा गरिएको PowerShell-आधारित USB वर्मबाट भएको प्रगतिलाई प्रतिनिधित्व गर्दछ, जुन अनुसन्धानकर्ताहरूले जुन 2023 मा अनावरण गरे।
VBS मा बनाइएको, स्प्रेडर मोड्युलले एक USB ड्राइभ भित्र सावधानीपूर्वक किरा वितरण गर्ने जिम्मेवारी लिन्छ, अनि अनियमित रूपमा तोकिएको नामहरूको साथ डिकोय LNK सँग। नामकरण "LitterDrifter" 'trash.dll' नामको प्रारम्भिक अर्केस्ट्रेशन कम्पोनेन्टबाट व्युत्पन्न भएको हो।
Gamaredon C2 सर्भरहरूको रूपमा कार्यरत वास्तविक IP ठेगानाहरूको लागि प्लेसहोल्डरहरूको रूपमा डोमेनहरू प्रयोग गर्दै C&C को लागि एक विशिष्ट दृष्टिकोण अपनाउछ।
यसबाहेक, LitterDrifter ले टेलिग्राम च्यानलबाट निकालिएको C&C सर्भरमा जडान गर्ने क्षमता प्रदर्शन गर्दछ, जुन 2023 को शुरुवातदेखि नै खतरा अभिनेताद्वारा निरन्तर रूपमा प्रयोग गरिएको एक रणनीति हो। साइबरसुरक्षा विशेषज्ञहरूले युक्रेन बाहिर संक्रमणको सम्भावित संकेतहरू पहिचान गरेका छन्, अमेरिका, भियतनाममा गतिविधिलाई सङ्केत गर्ने पत्ता लगाएका छन्। , चिली, पोल्याण्ड, जर्मनी र हङकङ।
Gamaredon यसको आक्रमण प्रविधिहरू विकसित गर्दैछ
हालको वर्षभरि, Gamaredon ले सक्रिय उपस्थिति कायम राखेको छ, लगातार आफ्नो आक्रमण रणनीतिहरू अनुकूलन गर्दै। जुलाई 2023 मा, शत्रुको द्रुत डेटा निष्कासन क्षमता स्पष्ट भयो, किनकि खतरा अभिनेताले प्रारम्भिक सम्झौताको एक घण्टा भित्र संवेदनशील जानकारी प्रसारण गर्न सफल भयो।
यो स्पष्ट छ कि LitterDrifter विशेष गरी एक व्यापक संग्रह सञ्चालन को सुविधा को लागी तैयार गरिएको थियो। सीधा तर कुशल प्रविधिहरू प्रयोग गर्दै, मालवेयरले यो क्षेत्रमा लक्ष्यहरूको व्यापक स्पेक्ट्रममा पुग्न सक्छ भन्ने सुनिश्चित गर्दछ।
रुस-युक्रेन युद्धको शुरुवातदेखि नै धम्कीका अभिनेताहरूले बढ्दो गतिविधि देखाउँछन्
खुलासा भएका घटनाहरू युक्रेनको राष्ट्रिय साइबरसुरक्षा समन्वय केन्द्र (NCSCC) ले इटाली, ग्रीस, रोमानिया र अजरबैजानलगायत युरोपभरका दूतावासहरूमा राज्य-प्रायोजित रुसी ह्याकरहरूले आक्रमण गर्ने घटनाहरू खुलासा गरेकोसँग मेल खान्छ।
APT29 (जसलाई Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard र थप पनि भनिन्छ) को श्रेय दिइएको छ, यी घुसपैठहरूले भर्खरै प्रकट भएको WinRAR कमजोरी (CVE-2023-38831) लाई भ्रामक प्रलोभनहरू मार्फत शोषण गर्दछ, जस्तै BMWs को बिक्रीको दाबी, a थिम पहिले धम्की अभिनेता द्वारा नियोजित।
आक्रमणको क्रमले पिडितहरूलाई फिसिङ इमेलहरूको वितरणको साथ सुरु गर्छ जसमा विशेष रूपमा बनाइएको ZIP फाइलको लिङ्क समावेश हुन्छ। सुरु गरेपछि, Ngrok मा होस्ट गरिएको रिमोट सर्भरबाट PowerShell स्क्रिप्ट ल्याउनको लागि त्रुटिको दुरुपयोग गरिन्छ। CVE-2023-38831 को पुनरावर्ती शोषण रूसी खुफिया सेवा ह्याकिङ समूहहरू द्वारा यसको बढ्दो लोकप्रियता र परिष्कृततालाई जोड दिन्छ।
यसबाहेक, CERT-UA (युक्रेनको कम्प्युटर आपतकालीन प्रतिक्रिया टोली) ले असुरक्षित RAR अभिलेखहरू फैलाउने फिसिङ अभियानको बारेमा जानकारी खुलासा गरेको छ। यी अभिलेखहरूले युक्रेनको सुरक्षा सेवा (SBU) बाट PDF कागजात समावेश गर्न खोज्छ। यद्यपि, वास्तविकतामा, तिनीहरूले एक कार्यान्वयनयोग्य घर राख्छन् जसले Remcos RAT को तैनातीमा नेतृत्व गर्दछ।
