LitterDrifter ਕੀੜਾ

ਰੂਸ ਦੀ ਸੰਘੀ ਸੁਰੱਖਿਆ ਸੇਵਾ (FSB) ਨਾਲ ਜੁੜੇ ਸਾਈਬਰ ਜਾਸੂਸੀ ਆਪਰੇਟਿਵਾਂ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਹੈ ਕਿ ਯੂਕਰੇਨੀ ਸੰਸਥਾਵਾਂ 'ਤੇ ਨਿਰਦੇਸ਼ਿਤ ਹਮਲਿਆਂ ਵਿੱਚ ਲਿਟਰ ਡ੍ਰਾਈਫਟਰ ਨਾਮਕ ਇੱਕ USB-ਪ੍ਰਸਾਰ ਕਰਨ ਵਾਲੇ ਕੀੜੇ ਨੂੰ ਨਿਯੁਕਤ ਕੀਤਾ ਗਿਆ ਹੈ।

ਇਸ ਅਪਮਾਨਜਨਕ ਨੂੰ ਆਰਕੇਸਟ੍ਰੇਟ ਕਰਨ ਵਾਲੀ ਹਸਤੀ ਦੀ ਪਛਾਣ ਗੇਮਰੇਡਨ ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ, ਜਿਸ ਨੂੰ ਐਕਵਾ ਬਲਿਜ਼ਾਰਡ, ਆਇਰਨ ਟਿਲਡੇਨ, ਪ੍ਰਾਈਮਿਟਿਵ ਬੀਅਰ, ਸ਼ੱਕਵਰਮ ਅਤੇ ਵਿੰਟਰਫਾਊਂਡਰ ਵਰਗੇ ਉਪਨਾਮਾਂ ਦੁਆਰਾ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਇਹਨਾਂ ਹੈਕਰਾਂ ਦੁਆਰਾ ਵਰਤੀਆਂ ਗਈਆਂ ਤਾਜ਼ਾ ਰਣਨੀਤੀਆਂ ਸਮੂਹ ਨੂੰ ਵਿਸਤ੍ਰਿਤ ਮੁਹਿੰਮਾਂ ਚਲਾਉਣ ਦੇ ਰੂਪ ਵਿੱਚ ਦਰਸਾਉਂਦੀਆਂ ਹਨ, ਇਸਦੇ ਬਾਅਦ ਖਾਸ ਟੀਚਿਆਂ ਨੂੰ ਧਿਆਨ ਵਿੱਚ ਰੱਖਦੇ ਹੋਏ ਡਾਟਾ ਇਕੱਠਾ ਕਰਨ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਹੁੰਦੀਆਂ ਹਨ। ਇਹਨਾਂ ਟੀਚਿਆਂ ਦੀ ਚੋਣ ਨੂੰ ਜਾਸੂਸੀ ਦੇ ਉਦੇਸ਼ਾਂ ਦੁਆਰਾ ਸੰਚਾਲਿਤ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ।

LitterDrifter ਆਪਣੇ ਸ਼ੁਰੂਆਤੀ ਟੀਚਿਆਂ ਤੋਂ ਪਰੇ ਫੈਲ ਗਿਆ ਹੈ

LitterDrifter ਕੀੜਾ ਦੋ ਪ੍ਰਾਇਮਰੀ ਕਾਰਜਕੁਸ਼ਲਤਾਵਾਂ ਦਾ ਮਾਣ ਕਰਦਾ ਹੈ: ਇਹ ਕਨੈਕਟ ਕੀਤੀਆਂ USB ਡਰਾਈਵਾਂ ਰਾਹੀਂ ਮਾਲਵੇਅਰ ਨੂੰ ਆਪਣੇ ਆਪ ਫੈਲਾਉਂਦਾ ਹੈ ਅਤੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਸਰਵਰਾਂ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਇਹ ਸ਼ੰਕੇ ਹਨ ਕਿ ਇਹ ਪਹਿਲਾਂ ਪ੍ਰਗਟ ਕੀਤੇ PowerShell-ਅਧਾਰਿਤ USB ਕੀੜੇ ਤੋਂ ਇੱਕ ਤਰੱਕੀ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਜਿਸਦਾ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਜੂਨ 2023 ਵਿੱਚ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਸੀ।

VBS ਵਿੱਚ ਤਿਆਰ ਕੀਤਾ ਗਿਆ, ਸਪ੍ਰੈਡਰ ਮੋਡੀਊਲ ਇੱਕ USB ਡਰਾਈਵ ਦੇ ਅੰਦਰ ਸਮਝਦਾਰੀ ਨਾਲ ਕੀੜੇ ਨੂੰ ਵੰਡਣ ਦੀ ਜ਼ਿੰਮੇਵਾਰੀ ਲੈਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਬੇਤਰਤੀਬੇ ਤੌਰ 'ਤੇ ਨਿਰਧਾਰਤ ਨਾਵਾਂ ਦੇ ਨਾਲ ਇੱਕ ਡੀਕੋਏ LNK ਹੁੰਦਾ ਹੈ। ਨਾਮਕਰਨ "LitterDrifter" ਨੂੰ 'trash.dll' ਨਾਮਕ ਸ਼ੁਰੂਆਤੀ ਆਰਕੈਸਟਰੇਸ਼ਨ ਕੰਪੋਨੈਂਟ ਤੋਂ ਲਿਆ ਗਿਆ ਹੈ।

Gamaredon C2 ਸਰਵਰਾਂ ਦੇ ਤੌਰ 'ਤੇ ਕੰਮ ਕੀਤੇ ਅਸਲ IP ਪਤਿਆਂ ਲਈ ਪਲੇਸਹੋਲਡਰ ਵਜੋਂ ਡੋਮੇਨ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, C&C ਲਈ ਇੱਕ ਵਿਲੱਖਣ ਪਹੁੰਚ ਅਪਣਾਉਂਦੀ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, LitterDrifter ਇੱਕ ਟੈਲੀਗ੍ਰਾਮ ਚੈਨਲ ਤੋਂ ਕੱਢੇ ਗਏ ਇੱਕ C&C ਸਰਵਰ ਨਾਲ ਜੁੜਨ ਦੀ ਸਮਰੱਥਾ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ 2023 ਦੇ ਸ਼ੁਰੂ ਤੋਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਦੁਆਰਾ ਲਗਾਤਾਰ ਵਰਤੀ ਗਈ ਇੱਕ ਰਣਨੀਤੀ ਹੈ। ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ ਯੂਕਰੇਨ ਤੋਂ ਬਾਹਰ ਸੰਕਰਮਣ ਦੇ ਸੰਭਾਵੀ ਸੰਕੇਤਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਅਮਰੀਕਾ, ਵੀਅਤਨਾਮ ਵਿੱਚ ਗਤੀਵਿਧੀ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਖੋਜਾਂ ਨਾਲ , ਚਿਲੀ, ਪੋਲੈਂਡ, ਜਰਮਨੀ ਅਤੇ ਹਾਂਗਕਾਂਗ।

ਗੇਮਰੇਡਨ ਆਪਣੀ ਹਮਲਾ ਕਰਨ ਦੀਆਂ ਤਕਨੀਕਾਂ ਨੂੰ ਵਿਕਸਿਤ ਕਰ ਰਿਹਾ ਹੈ

ਮੌਜੂਦਾ ਸਾਲ ਦੌਰਾਨ, ਗਾਮੇਰੇਡਨ ਨੇ ਇੱਕ ਸਰਗਰਮ ਮੌਜੂਦਗੀ ਬਣਾਈ ਰੱਖੀ ਹੈ, ਲਗਾਤਾਰ ਆਪਣੀਆਂ ਹਮਲੇ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਨੂੰ ਅਨੁਕੂਲਿਤ ਕਰਦੇ ਹੋਏ। ਜੁਲਾਈ 2023 ਵਿੱਚ, ਵਿਰੋਧੀ ਦੀ ਤੇਜ਼ੀ ਨਾਲ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਦੀ ਤਾਕਤ ਸਪੱਸ਼ਟ ਹੋ ਗਈ, ਕਿਉਂਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ ਸ਼ੁਰੂਆਤੀ ਸਮਝੌਤੇ ਦੇ ਸਿਰਫ ਇੱਕ ਘੰਟੇ ਦੇ ਅੰਦਰ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਸੰਚਾਰਿਤ ਕਰਨ ਵਿੱਚ ਕਾਮਯਾਬ ਰਿਹਾ।

ਇਹ ਸਪੱਸ਼ਟ ਹੈ ਕਿ ਲਿਟਰ ਡ੍ਰਾਈਫਟਰ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਇੱਕ ਵਿਆਪਕ ਸੰਗ੍ਰਹਿ ਕਾਰਜ ਦੀ ਸਹੂਲਤ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਸਿੱਧੀਆਂ ਪਰ ਕੁਸ਼ਲ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਮਾਲਵੇਅਰ ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ ਕਿ ਇਹ ਖੇਤਰ ਵਿੱਚ ਟੀਚਿਆਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਸਪੈਕਟ੍ਰਮ ਤੱਕ ਪਹੁੰਚ ਸਕਦਾ ਹੈ।

ਰੂਸ-ਯੂਕਰੇਨ ਯੁੱਧ ਦੀ ਸ਼ੁਰੂਆਤ ਤੋਂ ਲੈ ਕੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਵਧਦੀ ਗਤੀਵਿਧੀ ਦਿਖਾਉਂਦੇ ਹਨ

ਸਾਹਮਣੇ ਆਈਆਂ ਘਟਨਾਵਾਂ ਯੂਕਰੇਨ ਦੇ ਨੈਸ਼ਨਲ ਸਾਈਬਰ ਸਕਿਓਰਿਟੀ ਕੋਆਰਡੀਨੇਸ਼ਨ ਸੈਂਟਰ (ਐਨਸੀਐਸਸੀਸੀ) ਨਾਲ ਮੇਲ ਖਾਂਦੀਆਂ ਹਨ, ਜਿਸ ਵਿੱਚ ਇਟਲੀ, ਗ੍ਰੀਸ, ਰੋਮਾਨੀਆ ਅਤੇ ਅਜ਼ਰਬਾਈਜਾਨ ਸਮੇਤ ਪੂਰੇ ਯੂਰਪ ਵਿੱਚ ਦੂਤਾਵਾਸਾਂ ਉੱਤੇ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਰੂਸੀ ਹੈਕਰਾਂ ਦੁਆਰਾ ਹਮਲਿਆਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਗਿਆ ਸੀ।

APT29 (ਜਿਸ ਨੂੰ Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard ਅਤੇ ਹੋਰ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਦੇ ਕਾਰਨ, ਇਹ ਘੁਸਪੈਠ ਹਾਲ ਹੀ ਵਿੱਚ ਪ੍ਰਗਟ ਹੋਈ WinRAR ਕਮਜ਼ੋਰੀ (CVE-2023-38831) ਨੂੰ ਧੋਖੇਬਾਜ਼ ਲਾਲਚਾਂ ਰਾਹੀਂ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ ਵਿਕਰੀ ਲਈ BMWs ਦੇ ਦਾਅਵੇ, a ਥੀਮ ਪਹਿਲਾਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਦੁਆਰਾ ਨਿਯੁਕਤ ਕੀਤਾ ਗਿਆ ਸੀ।

ਹਮਲੇ ਦਾ ਕ੍ਰਮ ਪੀੜਤਾਂ ਨੂੰ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਦੀ ਵੰਡ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੀ ਗਈ ZIP ਫਾਈਲ ਦਾ ਲਿੰਕ ਹੁੰਦਾ ਹੈ। ਲਾਂਚ ਕਰਨ 'ਤੇ, Ngrok 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ PowerShell ਸਕ੍ਰਿਪਟ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਖਰਾਬੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਰੂਸੀ ਖੁਫੀਆ ਸੇਵਾਵਾਂ ਦੇ ਹੈਕਿੰਗ ਸਮੂਹਾਂ ਦੁਆਰਾ CVE-2023-38831 ਕਮਜ਼ੋਰੀ ਦਾ ਆਵਰਤੀ ਸ਼ੋਸ਼ਣ ਇਸਦੀ ਵਧਦੀ ਪ੍ਰਸਿੱਧੀ ਅਤੇ ਸੂਝ-ਬੂਝ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, CERT-UA (ਯੂਕਰੇਨ ਦੀ ਕੰਪਿਊਟਰ ਐਮਰਜੈਂਸੀ ਰਿਸਪਾਂਸ ਟੀਮ) ਨੇ ਅਸੁਰੱਖਿਅਤ RAR ਪੁਰਾਲੇਖਾਂ ਨੂੰ ਫੈਲਾਉਣ ਵਾਲੀ ਇੱਕ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮ ਬਾਰੇ ਜਾਣਕਾਰੀ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ। ਇਹ ਪੁਰਾਲੇਖਾਂ ਵਿੱਚ ਯੂਕਰੇਨ ਦੀ ਸੁਰੱਖਿਆ ਸੇਵਾ (SBU) ਤੋਂ ਇੱਕ PDF ਦਸਤਾਵੇਜ਼ ਸ਼ਾਮਲ ਕਰਨ ਦਾ ਇਰਾਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਅਸਲ ਵਿੱਚ, ਉਹ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਰੱਖਦੇ ਹਨ ਜੋ Remcos RAT ਦੀ ਤਾਇਨਾਤੀ ਵੱਲ ਲੈ ਜਾਂਦਾ ਹੈ।