NestDrifter Worm
Er zijn cyberspionageagenten gelinkt aan de Russische Federale Veiligheidsdienst (FSB) ontdekt die gebruik maken van een USB-propagerende worm genaamd LitterDrifter bij aanvallen gericht op Oekraïense entiteiten.
De entiteit die dit offensief orkestreert, wordt geïdentificeerd als Gamaredon , ook bekend onder aliassen als Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm en Winterflounder. Recente strategieën die door deze hackers worden gebruikt, karakteriseren de groep als het voeren van uitgebreide campagnes, gevolgd door nauwgezette inspanningen voor het verzamelen van gegevens gericht op specifieke doelen. Aangenomen wordt dat de selectie van deze doelen wordt ingegeven door spionagedoelstellingen.
Inhoudsopgave
LitterDrifter heeft zich verder verspreid dan zijn oorspronkelijke doelstellingen
De LitterDrifter-worm beschikt over twee primaire functionaliteiten: hij verspreidt de malware automatisch via aangesloten USB-drives en brengt communicatie tot stand met de Command-and-Control (C2, C&C)-servers van de bedreiging. Er zijn vermoedens dat het een vooruitgang is ten opzichte van een eerder onthulde, op PowerShell gebaseerde USB-worm, die onderzoekers in juni 2023 onthulden.
De verspreidingsmodule is gemaakt in VBS en neemt de verantwoordelijkheid op zich om de worm discreet te verspreiden binnen een USB-stick, vergezeld van een lok-LNK met willekeurig toegewezen namen. De nomenclatuur "LitterDrifter" is afgeleid van de initiële orkestratiecomponent genaamd 'trash.dll'.
Gamaredon hanteert een onderscheidende benadering van de C&C, waarbij domeinen worden gebruikt als tijdelijke aanduidingen voor de daadwerkelijke IP-adressen die als C2-servers worden gebruikt.
Bovendien vertoont LitterDrifter de mogelijkheid om verbinding te maken met een C&C-server afkomstig van een Telegram-kanaal, een tactiek die sinds begin 2023 consequent door de bedreigingsactoren wordt toegepast. Cybersecurity-experts hebben potentiële tekenen van infectie buiten Oekraïne geïdentificeerd, waarbij detecties duiden op activiteit in de VS, Vietnam , Chili, Polen, Duitsland en Hong Kong.
Gamaredon evolueert zijn aanvalstechnieken
Het hele jaar door is Gamaredon actief aanwezig gebleven en heeft hij zijn aanvalsstrategieën consequent aangepast. In juli 2023 werd de snelle data-exfiltratie van de tegenstander duidelijk, toen de dreigingsactor erin slaagde gevoelige informatie binnen slechts een uur na de aanvankelijke compromittering door te geven.
Het is duidelijk dat LitterDrifter speciaal is ontworpen om een uitgebreide inzamelingsoperatie mogelijk te maken. Door gebruik te maken van eenvoudige maar efficiënte technieken zorgt de malware ervoor dat hij een breed spectrum aan doelen in de regio kan bereiken.
Bedreigingsactoren vertonen toenemende activiteit sinds het begin van de oorlog tussen Rusland en Oekraïne
De gebeurtenissen vallen samen met het Oekraïense Nationale Cybersecurity Coördinatie Centrum (NCSCC) dat incidenten openbaar maakt van door de staat gesponsorde Russische hackers die aanvallen op ambassades in heel Europa orkestreren, waaronder Italië, Griekenland, Roemenië en Azerbeidzjan.
Deze inbraken worden toegeschreven aan APT29 (ook bekend als Cloaked Ursa, Cosy Bear, Iron Hemlock, Midnight Blizzard en meer) en maken misbruik van de onlangs onthulde WinRAR-kwetsbaarheid (CVE-2023-38831) via misleidende lokmiddelen, zoals claims van BMW's die te koop staan, een thema dat voorheen door de bedreigingsacteur werd gebruikt.
De aanvalssequentie begint met het verspreiden van phishing-e-mails naar de slachtoffers met een link naar een speciaal vervaardigd ZIP-bestand. Bij de lancering wordt de fout misbruikt om een PowerShell-script op te halen van een externe server die op Ngrok wordt gehost. De herhaalde exploitatie van de CVE-2023-38831-kwetsbaarheid door hackgroepen van de Russische inlichtingendiensten onderstreept de toenemende populariteit en verfijning ervan.
Bovendien heeft CERT-UA (het Computer Emergency Response Team van Oekraïne) informatie vrijgegeven over een phishing-campagne waarbij onveilige RAR-archieven werden verspreid. Deze archieven beweren een pdf-document van de Veiligheidsdienst van Oekraïne (SBU) te bevatten. In werkelijkheid bevatten ze echter een uitvoerbaar bestand dat leidt tot de inzet van de Remcos RAT .
