Črv LitterDrifter
Operaterji kibernetskega vohunjenja, povezani z rusko zvezno varnostno službo (FSB), so bili odkriti pri uporabi črva, ki se širi prek USB-ja, imenovanega LitterDrifter, v napadih, usmerjenih na ukrajinske subjekte.
Subjekt, ki orkestrira to ofenzivo, je identificiran kot Gamaredon , znan tudi pod vzdevki, kot so Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm in Winterflounder. Nedavne strategije, ki so jih uporabili ti hekerji, kažejo, da skupina izvaja obsežne kampanje, ki jim sledijo natančna prizadevanja za zbiranje podatkov, usmerjena proti specifičnim tarčam. Domneva se, da izbiro teh tarč vodijo vohunski cilji.
Kazalo
LitterDrifter se je razširil preko svojih začetnih ciljev
Črv LitterDrifter se ponaša z dvema glavnima funkcijama: samodejno razširja zlonamerno programsko opremo prek povezanih pogonov USB in vzpostavi komunikacijo s strežniki za ukazovanje in nadzor (C2, C&C) akterja grožnje. Obstajajo sumi, da predstavlja napredek v primerjavi s prej razkritim črvom USB na osnovi PowerShell, ki so ga raziskovalci predstavili junija 2023.
Razpršilni modul, izdelan v VBS, prevzame odgovornost za diskretno distribucijo črva znotraj pogona USB, ki ga spremlja vabni LNK z naključno dodeljenimi imeni. Nomenklatura "LitterDrifter" izhaja iz začetne komponente orkestracije z imenom "trash.dll".
Gamaredon sprejme poseben pristop do C&C, pri čemer uporablja domene kot oznake za dejanske naslove IP, ki se uporabljajo kot strežniki C2.
Poleg tega LitterDrifter izkazuje zmožnost povezave s strežnikom C&C, pridobljenim iz kanala Telegram, kar je taktika, ki jo akter grožnje dosledno uporablja od začetka leta 2023. Strokovnjaki za kibernetsko varnost so odkrili morebitne znake okužbe zunaj Ukrajine, z zaznavami, ki kažejo na aktivnost v ZDA in Vietnamu , Čile, Poljska, Nemčija in Hong Kong.
Gamaredon razvija svoje tehnike napada
Skozi tekoče leto je Gamaredon ohranil aktivno prisotnost in dosledno prilagajal svoje strategije napada. Julija 2023 je postalo očitno, da je nasprotnikovo hitro iztiskanje podatkov uspelo, saj je akterju grožnje uspelo prenesti občutljive informacije v samo eni uri po prvotnem kompromisu.
Očitno je, da je bil LitterDrifter izdelan posebej za olajšanje obsežne operacije zbiranja. Zlonamerna programska oprema z uporabo preprostih, a učinkovitih tehnik zagotavlja, da lahko doseže širok spekter ciljev v regiji.
Akterji groženj kažejo povečano aktivnost od začetka rusko-ukrajinske vojne
Dogodki, ki se odvijajo, sovpadajo z ukrajinskim nacionalnim koordinacijskim centrom za kibernetsko varnost (NCSCC), ki je razkril incidente državno sponzoriranih ruskih hekerjev, ki so organizirali napade na veleposlaništva po Evropi, vključno z Italijo, Grčijo, Romunijo in Azerbajdžanom.
Ti vdori, pripisani APT29 (znanem tudi kot Cloaked Ursa, Cosy Bear, Iron Hemlock, Midnight Blizzard in več), izkoriščajo nedavno razkrito ranljivost WinRAR (CVE-2023-38831) prek zavajajočih vab, kot so trditve o BMW-jih za prodajo, temo, ki jo je prej uporabil akter grožnje.
Zaporedje napadov se začne z distribucijo lažnih e-poštnih sporočil žrtvam, ki vsebujejo povezavo do posebej oblikovane datoteke ZIP. Po zagonu se napaka izkoristi za pridobitev skripta PowerShell iz oddaljenega strežnika, ki gostuje na Ngroku. Ponavljajoče se izkoriščanje ranljivosti CVE-2023-38831 s strani hekerskih skupin ruskih obveščevalnih služb poudarja njeno vedno večjo priljubljenost in prefinjenost.
Poleg tega je CERT-UA (Ukrajinska ekipa za odzivanje na računalniške nujne primere) razkrila informacije o kampanji lažnega predstavljanja, ki razširja nevarne arhive RAR. Ti arhivi naj bi vsebovali dokument PDF varnostne službe Ukrajine (SBU). Vendar pa v resnici hranijo izvršljivo datoteko, ki vodi do uvedbe Remcos RAT .
