ЛиттерДрифтер Ворм
Оперативци сајбер шпијунаже повезани са руском Федералном службом безбедности (ФСБ) откривени су како користе црва који се шири преко УСБ-а по имену ЛиттерДрифтер у нападима усмереним на украјинске ентитете.
Ентитет који организује ову офанзиву идентификован је као Гамаредон , такође познат по псеудонима као што су Акуа Близзард, Ирон Тилден, Примитиве Беар, Схуцкворм и Винтерфлоундер. Недавне стратегије које користе ови хакери карактеришу групу као вођење опсежних кампања, праћених педантно прикупљањем података усмерених на одређене мете. Претпоставља се да је избор ових мета вођен циљевима шпијунаже.
Преглед садржаја
ЛиттерДрифтер се проширио изван својих почетних циљева
Црв ЛиттерДрифтер има две примарне функције: аутоматски шири малвер преко повезаних УСБ дискова и успоставља комуникацију са серверима за команду и контролу (Ц2, Ц&Ц) актера претње. Постоје сумње да представља напредак у односу на претходно откривени УСБ црв базиран на ПоверСхелл-у, који су истраживачи представили у јуну 2023.
Направљен у ВБС-у, модул за ширење преузима одговорност за дискретну дистрибуцију црва унутар УСБ драјва, праћен ЛНК-ом са насумично додељеним именима. Номенклатура „ЛиттерДрифтер“ је изведена из почетне компоненте оркестрације под називом „трасх.длл“.
Гамаредон усваја посебан приступ Ц&Ц-у, користећи домене као чуваре места за стварне ИП адресе које се користе као Ц2 сервери.
Штавише, ЛиттерДрифтер показује способност да се повеже са Ц&Ц сервером извученом са Телеграм канала, тактику коју је актер претње доследно користио од почетка 2023. Стручњаци за сајбер безбедност идентификовали су потенцијалне знакове инфекције изван Украјине, а детекције указују на активност у САД, Вијетнаму , Чиле, Пољска, Немачка и Хонг Конг.
Гамаредон развија своје технике напада
Током текуће године, Гамаредон је задржао активно присуство, доследно прилагођавајући своје стратегије напада. У јулу 2023. године, противникова брза ексфилтрација података постала је очигледна, пошто је актер претње успео да пренесе осетљиве информације у року од само једног сата од првобитног компромиса.
Очигледно је да је ЛиттерДрифтер посебно направљен да олакша опсежну операцију прикупљања. Користећи једноставне, али ефикасне технике, малвер обезбеђује да може да досегне широк спектар циљева у региону.
Актери претњи показују повећану активност од почетка руско-украјинског рата
Догађаји који се одвијају поклапају се са украјинским Националним координационим центаром за сајбер безбедност (НЦСЦЦ) који открива инциденте руских хакера које спонзорише држава, који су организовали нападе на амбасаде широм Европе, укључујући Италију, Грчку, Румунију и Азербејџан.
Приписани АПТ29 (такође познат као Цлоакед Урса, Цоси Беар, Ирон Хемлоцк, Миднигхт Близзард и још много тога), ови упади искоришћавају недавно откривену ВинРАР рањивост (ЦВЕ-2023-38831) путем обмањујућих мамаца, као што су тврдње о БМВ-овима за продају, а тема коју је претходно користио актер претње.
Секвенца напада почиње дистрибуцијом пхисхинг порука е-поште жртвама које садрже везу до посебно направљене ЗИП датотеке. Након покретања, грешка се користи за преузимање ПоверСхелл скрипте са удаљеног сервера хостованог на Нгроку. Повремено искоришћавање рањивости ЦВЕ-2023-38831 од стране хакерских група руских обавештајних служби наглашава његову све већу популарност и софистицираност.
Штавише, ЦЕРТ-УА (Украјински тим за компјутерске хитне случајеве) је открио информације о пхисхинг кампањи којом се шире несигурне РАР архиве. Ове архиве наводно садрже ПДФ документ Службе безбедности Украјине (СБУ). Међутим, у стварности, они садрже извршни фајл који води до постављања Ремцос РАТ-а .
