LitterDrifter Worm

Operativët e spiunazhit kibernetik të lidhur me Shërbimin Federal të Sigurisë të Rusisë (FSB) janë zbuluar duke përdorur një krimb përhapës USB të quajtur LitterDrifter në sulmet e drejtuara ndaj subjekteve ukrainase.

Subjekti që orkestron këtë ofensivë është identifikuar si Gamaredon , i njohur gjithashtu me pseudonime të tilla si Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm dhe Winterflounder. Strategjitë e fundit të përdorura nga këta hakerë e karakterizojnë grupin si kryerjen e fushatave të gjera, të ndjekura nga përpjekje të përpikta për mbledhjen e të dhënave që synojnë objektiva specifikë. Përzgjedhja e këtyre objektivave supozohet të jetë e drejtuar nga objektiva spiunazhi.

LitterDrifter është përhapur përtej synimeve të tij fillestare

Krimbi LitterDrifter krenohet me dy funksionalitete kryesore: shpërndan automatikisht malware përmes disqeve USB të lidhur dhe vendos komunikim me serverët Command-and-Control (C2, C&C) të aktorit të kërcënimit. Ka dyshime se ai përfaqëson një përparim nga një krimb USB i bazuar në PowerShell i zbuluar më parë, të cilin studiuesit e zbuluan në qershor 2023.

I krijuar në VBS, moduli shpërndarës merr përsipër përgjegjësinë e shpërndarjes së krimbit në mënyrë diskrete brenda një USB drive, i shoqëruar nga një LNK dredhi me emra të caktuar rastësisht. Nomenklatura "LitterDrifter" rrjedh nga komponenti fillestar i orkestrimit të quajtur 'trash.dll'.

Gamaredon miraton një qasje të veçantë për C&C, duke përdorur domenet si mbajtës të vendeve për adresat IP aktuale të përdorura si serverë C2.

Për më tepër, LitterDrifter shfaq aftësinë për t'u lidhur me një server C&C të nxjerrë nga një kanal Telegram, një taktikë e përdorur vazhdimisht nga aktori i kërcënimit që nga fillimi i vitit 2023. Ekspertët e sigurisë kibernetike kanë identifikuar shenja të mundshme të infeksionit përtej Ukrainës, me zbulime që tregojnë aktivitet në SHBA, Vietnam , Kili, Polonia, Gjermania dhe Hong Kongu.

Gamaredon po zhvillon teknikat e tij të sulmit

Gjatë gjithë vitit aktual, Gamaredon ka mbajtur një prani aktive, duke përshtatur vazhdimisht strategjitë e tij të sulmit. Në korrik 2023, aftësia e shpejtë e kundërshtarit për nxjerrjen e të dhënave u bë e dukshme, pasi aktori i kërcënimit arriti të transmetonte informacione të ndjeshme brenda vetëm një ore nga kompromisi fillestar.

Është e qartë se LitterDrifter është krijuar posaçërisht për të lehtësuar një operacion të gjerë grumbullimi. Duke përdorur teknika të drejtpërdrejta por efikase, malware siguron që mund të arrijë një spektër të gjerë objektivash në rajon.

Aktorët kërcënues tregojnë rritje të aktivitetit që nga fillimi i luftës Rusi-Ukrainë

Ngjarjet e shpalosura përkojnë me Qendrën Kombëtare të Koordinimit të Sigurisë Kibernetike të Ukrainës (NCSCC) që zbulon incidente të hakerëve rusë të sponsorizuar nga shteti që orkestrojnë sulme ndaj ambasadave në të gjithë Evropën, duke përfshirë Italinë, Greqinë, Rumaninë dhe Azerbajxhanin.

I atribuar APT29 (i njohur gjithashtu si Ursa e mbuluar, Ariu komod, Iron Hemlock, Midnight Blizzard dhe më shumë), këto ndërhyrje shfrytëzojnë cenueshmërinë e zbuluar së fundmi WinRAR (CVE-2023-38831) përmes joshjeve mashtruese, të tilla si pretendimet e BMW-ve për shitje, një temë e përdorur më parë nga aktori i kërcënimit.

Sekuenca e sulmit fillon me shpërndarjen e emaileve phishing për viktimat që përmbajnë një lidhje me një skedar ZIP të krijuar posaçërisht. Me nisjen, defekti shfrytëzohet për të marrë një skript PowerShell nga një server në distancë i vendosur në Ngrok. Shfrytëzimi i përsëritur i cenueshmërisë CVE-2023-38831 nga grupet e hakerëve të shërbimeve të inteligjencës ruse nënvizon popullaritetin dhe sofistikimin e tij në rritje.

Për më tepër, CERT-UA (Ekipi i Reagimit ndaj Emergjencave Kompjuterike të Ukrainës) ka zbuluar informacion në lidhje me një fushatë phishing që shpërndan arkiva të pasigurta RAR. Këto arkiva pretendojnë të përmbajnë një dokument PDF nga Shërbimi i Sigurisë së Ukrainës (SBU). Sidoqoftë, në realitet, ato përmbajnë një ekzekutues që çon në vendosjen e Remcos RAT .