Threat Database Worms Robak LitterDrifter

Robak LitterDrifter

Wykryto, że agenci cyberszpiegostwa powiązani z Rosyjską Federalną Służbą Bezpieczeństwa (FSB) wykorzystują robaka rozprzestrzeniającego się w USB o nazwie LitterDrifter w atakach skierowanych na podmioty ukraińskie.

Istota organizująca tę ofensywę jest identyfikowana jako Gamaredon , znana również pod pseudonimami, takimi jak Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm i Winterflounder. Niedawne strategie stosowane przez tych hakerów charakteryzują grupę jako prowadzącą szeroko zakrojone kampanie, po których następują skrupulatne gromadzenie danych ukierunkowane na określone cele. Zakłada się, że przy wyborze tych celów podyktowane są cele szpiegowskie.

LitterDrifter przekroczył swoje początkowe cele

Robak LitterDrifter może pochwalić się dwiema podstawowymi funkcjonalnościami: automatycznie rozprzestrzenia szkodliwe oprogramowanie poprzez podłączone dyski USB i nawiązuje komunikację z serwerami dowodzenia i kontroli (C2, C&C) ugrupowania zagrażającego. Istnieją podejrzenia, że stanowi on postęp w porównaniu z wcześniej ujawnionym robakiem USB opartym na programie PowerShell, którego badacze ujawnili w czerwcu 2023 r.

Moduł rozprzestrzeniający, wykonany w VBS, przejmuje odpowiedzialność za dyskretną dystrybucję robaka w napędzie USB wraz z wabikiem LNK z losowo przypisanymi nazwami. Nazewnictwo „LitterDrifter” wywodzi się z początkowego komponentu orkiestracji o nazwie „trash.dll”.

Gamaredon przyjmuje charakterystyczne podejście do C&C, wykorzystując domeny jako obiekty zastępcze dla rzeczywistych adresów IP wykorzystywanych jako serwery C2.

Co więcej, LitterDrifter umożliwia łączenie się z serwerem kontroli i kontroli pobranym z kanału Telegramu – jest to taktyka stosowana przez ugrupowanie zagrażające konsekwentnie od początku 2023 r. Eksperci ds. cyberbezpieczeństwa zidentyfikowali potencjalne oznaki infekcji poza Ukrainą, a wykrycia wskazują na aktywność w USA i Wietnamie , Chile, Polska, Niemcy i Hongkong.

Gamaredon rozwija swoje techniki ataku

Przez cały bieżący rok Gamaredon utrzymywał aktywną obecność, konsekwentnie dostosowując swoje strategie ataków. W lipcu 2023 r. ujawniono, że atakujący potrafi szybko wydobywać dane, ponieważ podmiotowi zagrażającemu udało się przesłać poufne informacje w ciągu zaledwie godziny od wstępnego naruszenia bezpieczeństwa.

Jest oczywiste, że LitterDrifter został specjalnie stworzony, aby ułatwić szeroko zakrojoną operację zbierania. Wykorzystując proste, ale skuteczne techniki, szkodliwe oprogramowanie gwarantuje, że może dotrzeć do szerokiego spektrum celów w regionie.

Podmioty zagrażające wykazują zwiększoną aktywność od początku wojny rosyjsko-ukraińskiej

Wydarzenia zbiegają się z ujawnieniem przez ukraińskie Narodowe Centrum Koordynacji Cyberbezpieczeństwa (NCSCCC) incydentów sponsorowanych przez państwo rosyjskich hakerów organizujących ataki na ambasady w całej Europie, w tym we Włoszech, Grecji, Rumunii i Azerbejdżanie.

Przypisywane APT29 (znanemu również jako Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard i innym) włamania te wykorzystują niedawno ujawnioną lukę w zabezpieczeniach WinRAR (CVE-2023-38831) poprzez zwodnicze przynęty, takie jak twierdzenia o sprzedaży BMW, motyw poprzednio zastosowany przez ugrupowanie zagrażające.

Sekwencja ataku rozpoczyna się od rozesłania do ofiar wiadomości e-mail phishingowych zawierających łącze do specjalnie spreparowanego pliku ZIP. Po uruchomieniu luka jest wykorzystywana do pobrania skryptu PowerShell ze zdalnego serwera hostowanego na Ngrok. Powtarzające się wykorzystywanie luki CVE-2023-38831 przez grupy hakerskie rosyjskich służb wywiadowczych podkreśla jej rosnącą popularność i wyrafinowanie.

Ponadto CERT-UA (Ukraiński Zespół Reagowania na Kryzys Komputerowy) ujawnił informację o kampanii phishingowej polegającej na rozpowszechnianiu niebezpiecznych archiwów RAR. Archiwa te rzekomo zawierają dokument PDF ze Służby Bezpieczeństwa Ukrainy (SBU). Jednak w rzeczywistości zawierają plik wykonywalny, który prowadzi do wdrożenia Remcos RAT .

Popularne

Najczęściej oglądane

Ładowanie...