LitterDrifter Worm
Pracovníci kybernetickej špionáže napojení na ruskú Federálnu bezpečnostnú službu (FSB) boli odhalení, ako pri útokoch na ukrajinské subjekty využívali červa LitterDrifter šíriaceho USB.
Subjekt organizujúci túto ofenzívu je identifikovaný ako Gamaredon , známy aj pod prezývkami ako Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm a Winterflounder. Nedávne stratégie, ktoré títo hackeri používajú, charakterizujú skupinu ako vedenie rozsiahlych kampaní, po ktorých nasleduje starostlivé zhromažďovanie údajov zamerané na konkrétne ciele. Predpokladá sa, že výber týchto cieľov je riadený cieľmi špionáže.
Obsah
LitterDrifter sa rozšíril za svoje počiatočné ciele
Červ LitterDrifter sa môže pochváliť dvoma hlavnými funkciami: automaticky šíri malvér cez pripojené USB disky a nadväzuje komunikáciu so servermi Command-and-Control (C2, C&C) aktéra hrozby. Existujú podozrenia, že ide o pokrok od predtým zverejneného USB červa založeného na PowerShell, ktorý výskumníci odhalili v júni 2023.
Modul šírenia, vytvorený vo VBS, preberá zodpovednosť za diskrétnu distribúciu červa v rámci USB disku spolu s návnadou LNK s náhodne priradenými menami. Nomenklatúra „LitterDrifter“ je odvodená od počiatočného komponentu orchestrácie s názvom „trash.dll“.
Gamaredon prijíma charakteristický prístup k C&C, využívajúc domény ako zástupné symboly pre skutočné IP adresy používané ako servery C2.
LitterDrifter navyše vykazuje schopnosť pripojiť sa k serveru C&C extrahovanému z kanála Telegram, čo je taktika, ktorú hroziaci aktér dôsledne používa od začiatku roku 2023. Odborníci na kybernetickú bezpečnosť identifikovali potenciálne príznaky infekcie za hranicami Ukrajiny, pričom detekcie naznačujú aktivitu v USA, Vietname. , Čile, Poľsku, Nemecku a Hongkongu.
Gamaredon vyvíja svoje útočné techniky
Počas tohto roka si Gamaredon udržiava aktívnu prítomnosť a neustále prispôsobuje svoje útočné stratégie. V júli 2023 sa prejavila schopnosť protivníka rýchlo exfiltrovať dáta, pretože aktérovi hrozby sa podarilo preniesť citlivé informácie len do jednej hodiny od pôvodného kompromisu.
Je zrejmé, že LitterDrifter bol špeciálne vytvorený na uľahčenie rozsiahlej zbernej operácie. Pomocou jednoduchých, ale účinných techník malvér zaisťuje, že môže dosiahnuť široké spektrum cieľov v regióne.
Aktéri hrozieb vykazujú zvýšenú aktivitu od začiatku rusko-ukrajinskej vojny
Odvíjajúce sa udalosti sa zhodujú s ukrajinským Národným koordinačným centrom pre kybernetickú bezpečnosť (NCSCC), ktoré odhalilo incidenty štátom podporovaných ruských hackerov organizujúcich útoky na veľvyslanectvá v celej Európe vrátane Talianska, Grécka, Rumunska a Azerbajdžanu.
Tieto prieniky, ktoré sa pripisujú APT29 (tiež známy ako Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard a ďalšie), využívajú nedávno odhalenú zraniteľnosť WinRAR (CVE-2023-38831) prostredníctvom klamlivých návnad, ako sú napríklad tvrdenia o predaji BMW. tému, ktorú predtým používal aktér hrozby.
Sekvencia útokov sa začína distribúciou phishingových e-mailov obetiam, ktoré obsahujú odkaz na špeciálne vytvorený súbor ZIP. Po spustení sa chyba zneužije na načítanie skriptu PowerShell zo vzdialeného servera hosťovaného na Ngrok. Opakujúce sa využívanie zraniteľnosti CVE-2023-38831 hackerskými skupinami ruských spravodajských služieb podčiarkuje jej rastúcu popularitu a sofistikovanosť.
Okrem toho CERT-UA (Ukrajinský tím pre počítačovú núdzovú reakciu) zverejnil informácie o phishingovej kampani, ktorá šírila nebezpečné archívy RAR. Tieto archívy údajne obsahujú dokument PDF od Bezpečnostnej služby Ukrajiny (SBU). V skutočnosti však obsahujú spustiteľný súbor, ktorý vedie k nasadeniu Remcos RAT .
