ПометЧервь-Дрифтер
Оперативники кибершпионажа, связанные с Федеральной службой безопасности (ФСБ) России, были обнаружены при использовании USB-червя под названием LitterDrifter в атаках, направленных на украинские организации.
Сущность, организующая это наступление, идентифицирована как Гамаредон , также известный под такими псевдонимами, как Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm и Winterflounder. Недавние стратегии, использованные этими хакерами, характеризуют группировку как проведение обширных кампаний, за которыми следуют тщательные усилия по сбору данных, направленные на конкретные цели. Предполагается, что выбор этих целей обусловлен шпионскими целями.
Оглавление
LitterDrifter вышел за рамки первоначальных целей
Червь LitterDrifter может похвастаться двумя основными функциями: он автоматически распространяет вредоносное ПО через подключенные USB-накопители и устанавливает связь с серверами управления и контроля (C2, C&C) злоумышленника. Есть подозрения, что он представляет собой развитие ранее раскрытого USB-червя на базе PowerShell, который исследователи представили в июне 2023 года.
Модуль распространения, созданный на VBS, берет на себя ответственность за незаметное распространение червя на USB-накопителе в сопровождении ложного LNK со случайно назначенными именами. Номенклатура «LitterDrifter» получена из исходного компонента оркестрации с именем «trash.dll».
Gamaredon применяет особый подход к C&C, используя домены в качестве заполнителей для фактических IP-адресов, используемых в качестве серверов C2.
Более того, LitterDrifter демонстрирует возможность подключения к командному серверу, извлеченному из канала Telegram — тактика, которую злоумышленник постоянно применяет с начала 2023 года. Эксперты по кибербезопасности выявили потенциальные признаки заражения за пределами Украины, при этом обнаружения указывают на активность в США, Вьетнаме. , Чили, Польша, Германия и Гонконг.
Гамаредон совершенствует свои методы атаки
В течение текущего года Gamaredon сохранял активное присутствие, последовательно адаптируя свои стратегии атак. В июле 2023 года мастерство злоумышленника в быстрой краже данных стало очевидным, поскольку злоумышленнику удалось передать конфиденциальную информацию всего за один час после первоначального взлома.
Очевидно, что LitterDrifter был специально создан для облегчения обширной операции по сбору мусора. Используя простые, но эффективные методы, вредоносное ПО обеспечивает достижение широкого спектра целей в регионе.
Активность участников угроз возросла с начала российско-украинской войны
Разворачивающиеся события совпадают с тем, что Национальный координационный центр кибербезопасности Украины (NCSCC) раскрывает случаи, когда спонсируемые государством российские хакеры организовывали атаки на посольства в Европе, включая Италию, Грецию, Румынию и Азербайджан.
Эти вторжения, приписываемые APT29 (также известному как Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard и т. д.), используют недавно обнаруженную уязвимость WinRAR (CVE-2023-38831) посредством обманных приманок, таких как заявления о продаже BMW, тема, ранее использовавшаяся злоумышленником.
Атака начинается с рассылки жертвам фишинговых писем, содержащих ссылку на специально созданный ZIP-файл. После запуска уязвимость используется для получения сценария PowerShell с удаленного сервера, размещенного на Ngrok. Периодическое использование уязвимости CVE-2023-38831 хакерскими группами российских спецслужб подчеркивает ее растущую популярность и сложность.
Кроме того, CERT-UA (Команда реагирования на компьютерные чрезвычайные ситуации Украины) раскрыла информацию о фишинговой кампании по распространению небезопасных RAR-архивов. Эти архивы якобы содержат PDF-документ Службы безопасности Украины (СБУ). Однако на самом деле в них находится исполняемый файл, который приводит к развертыванию Remcos RAT .
