LitterDrifter Worm
Os operadores de espionagem cibernética ligados ao Serviço Federal de Segurança (FSB) da Rússia foram detectados empregando um worm de propagação de USB chamado LitterDrifter em ataques dirigidos a entidades ucranianas.
A entidade que orquestra esta ofensiva é identificada como Gamaredon, também conhecida por pseudônimos como Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm e Winterflounder. Estratégias recentes empregadas por esses hackers caracterizam o grupo como conduzindo campanhas extensas, seguidas de esforços meticulosos de coleta de dados direcionados a alvos específicos. Presume-se que a selecção destes alvos seja motivada por objectivos de espionagem.
Índice
O LitterDrifter Se Espalhou Além dos Seus Objetivos Iniciais
O worm LitterDrifter possui duas funcionalidades principais: ele dissemina automaticamente o malware por meio de unidades USB conectadas e estabelece comunicação com os servidores de comando e controle (C2, C&C) do agente da ameaça. Há suspeitas de que representa um avanço em relação a um worm USB baseado em PowerShell divulgado anteriormente, que os pesquisadores revelaram em junho de 2023.
Criado em VBS, o módulo espalhador assume a responsabilidade de distribuir o worm discretamente dentro de um drive USB, acompanhado por um chamariz LNK com nomes atribuídos aleatoriamente. A nomenclatura "LitterDrifter" é derivada do componente de orquestração inicial denominado 'trash.dll'.
O Gamaredon adota uma abordagem distinta para C&C, utilizando domínios como espaços reservados para os endereços IP reais empregados como servidores C2.
Além disso, o LitterDrifter exibe a capacidade de se conectar a um servidor C&C extraído de um canal do Telegram, uma tática consistentemente empregada pelo ator da ameaça desde o início de 2023. Especialistas em segurança cibernética identificaram sinais potenciais de infecção fora da Ucrânia, com detecções indicando atividade nos EUA, Vietnã , Chile, Polônia, Alemanha e Hong Kong.
O Gamaredon está Evoluindo Suas Técnicas de Ataque
Ao longo do ano em curso, o Gamaredon manteve uma presença ativa, adaptando consistentemente as suas estratégias de ataque. Em julho de 2023, a rápida capacidade de exfiltração de dados do adversário tornou-se evidente, pois o ator da ameaça conseguiu transmitir informações confidenciais apenas uma hora após o comprometimento inicial.
É evidente que o LitterDrifter foi criado especificamente para facilitar uma extensa operação de coleta. Empregando técnicas simples, mas eficientes, o malware garante que pode atingir um amplo espectro de alvos na região.
Os Autores de Ameaças Mostraram um Aumento nas Suas Atividade desde o Início da Guerra Rússia-Ucrânia
O desenrolar dos acontecimentos coincide com a divulgação, pelo Centro Nacional de Coordenação de Cibersegurança (NCSCC) da Ucrânia, de incidentes de hackers russos patrocinados pelo Estado que orquestraram ataques a embaixadas em toda a Europa, incluindo Itália, Grécia, Roménia e Azerbaijão.
Atribuídas ao APT29 (também conhecido como Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard e mais), essas invasões exploram a vulnerabilidade WinRAR recentemente revelada (CVE-2023-38831) por meio de iscas enganosas, como reivindicações de BMWs à venda, um tema anteriormente empregado pelo ator da ameaça.
A sequência de ataque começa com a distribuição de e-mails de phishing às vítimas contendo um link para um arquivo ZIP especialmente criado. Após o lançamento, a falha é explorada para buscar um script do PowerShell de um servidor remoto hospedado no Ngrok. A exploração recorrente da vulnerabilidade CVE-2023-38831 por grupos de hackers dos serviços de inteligência russos sublinha a sua crescente popularidade e sofisticação.
Além disso, a CERT-UA (Equipe de Resposta a Emergências Informáticas da Ucrânia) divulgou informações sobre uma campanha de phishing que dissemina arquivos RAR inseguros. Estes arquivos pretendem conter um documento PDF do Serviço de Segurança da Ucrânia (SBU). Porém, na realidade, eles abrigam um executável que leva à implantação do Remcos RAT.
