LitterDrifter Vierme
Agenți de spionaj cibernetic legați de Serviciul Federal de Securitate (FSB) al Rusiei au fost detectați utilizând un vierme care se propagă prin USB numit LitterDrifter în atacuri îndreptate împotriva entităților ucrainene.
Entitatea care orchestrează această ofensivă este identificată ca Gamaredon , cunoscut și sub pseudonime precum Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm și Winterflounder. Strategiile recente folosite de acești hackeri caracterizează grupul ca desfășurând campanii extinse, urmate de eforturi meticuloase de colectare a datelor care vizează ținte specifice. Se presupune că selecția acestor ținte este determinată de obiective de spionaj.
Cuprins
LitterDrifter s-a răspândit dincolo de țintele sale inițiale
Viermele LitterDrifter are două funcționalități principale: difuzează automat malware-ul prin unitățile USB conectate și stabilește comunicarea cu serverele de comandă și control (C2, C&C) ale actorului amenințării. Există suspiciuni că reprezintă un progres de la un vierme USB bazat pe PowerShell, dezvăluit anterior, pe care cercetătorii l-au dezvăluit în iunie 2023.
Realizat în VBS, modulul de împrăștiere își asumă responsabilitatea distribuirii discrete a viermelui într-o unitate USB, însoțită de un LNK momeală cu nume atribuite aleatoriu. Nomenclatura „LitterDrifter” este derivată din componenta inițială de orchestrare numită „trash.dll”.
Gamaredon adoptă o abordare distinctă a C&C, utilizând domeniile ca substituenți pentru adresele IP reale folosite ca servere C2.
Mai mult decât atât, LitterDrifter prezintă capacitatea de a se conecta la un server C&C extras de pe un canal Telegram, o tactică folosită în mod constant de actorul amenințării de la începutul anului 2023. Experții în securitate cibernetică au identificat potențiale semne de infecție dincolo de Ucraina, detectările indicând activitate în SUA, Vietnam , Chile, Polonia, Germania și Hong Kong.
Gamaredon își dezvoltă tehnicile de atac
Pe tot parcursul anului curent, Gamaredon și-a menținut o prezență activă, adaptându-și constant strategiile de atac. În iulie 2023, priceperea rapidă a adversarului în exfiltrarea datelor a devenit evidentă, deoarece actorul amenințării a reușit să transmită informații sensibile în doar o oră de la compromisul inițial.
Este evident că LitterDrifter a fost creat special pentru a facilita o operațiune extinsă de colectare. Folosind tehnici simple, dar eficiente, malware-ul asigură că poate atinge un spectru larg de ținte în regiune.
Actorii de amenințări arată o activitate în creștere de la începutul războiului Rusia-Ucraina
Evenimentele în desfășurare coincid cu Centrul Național de Coordonare a Securității Cibernetice (NCSCC) al Ucrainei care dezvăluie incidente ale hackerilor ruși sponsorizați de stat care orchestrează atacuri asupra ambasadelor din întreaga Europă, inclusiv Italia, Grecia, România și Azerbaidjan.
Atribuite lui APT29 (cunoscut și sub numele de Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard și multe altele), aceste intruziuni exploatează vulnerabilitatea WinRAR dezvăluită recent (CVE-2023-38831) prin momeli înșelătoare, cum ar fi pretențiile BMW-urilor de vânzare, un tema folosită anterior de actorul amenințării.
Secvența de atac începe cu distribuirea de e-mailuri de phishing către victime care conțin un link către un fișier ZIP special creat. La lansare, defectul este exploatat pentru a prelua un script PowerShell de la un server la distanță găzduit pe Ngrok. Exploatarea recurentă a vulnerabilității CVE-2023-38831 de către grupurile de piratare a serviciilor de informații rusești subliniază popularitatea și sofisticarea sa în creștere.
În plus, CERT-UA (Echipa Ucrainei de Răspuns în Situații de Urgență Informatică) a dezvăluit informații despre o campanie de phishing care diseminează arhive RAR nesigure. Aceste arhive pretind să conţină un document PDF de la Serviciul de Securitate al Ucrainei (SBU). Cu toate acestea, în realitate, ele găzduiesc un executabil care duce la implementarea Remcos RAT .
