LitterDrifter Worm
Cyberspionageoperatörer kopplade till Rysslands federala säkerhetstjänst (FSB) har upptäckts använda en USB-propagerande mask vid namn LitterDrifter i övergrepp riktade mot ukrainska enheter.
Enheten som orkestrerar denna offensiv identifieras som Gamaredon , även känd under alias som Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm och Winterflounder. Nya strategier som använts av dessa hackare kännetecknar gruppen som utför omfattande kampanjer, följt av noggranna datainsamlingsinsatser riktade mot specifika mål. Valet av dessa mål antas drivas av spionagemål.
Innehållsförteckning
LitterDrifter har spridit sig bortom sina ursprungliga mål
LitterDrifter-masken har två primära funktioner: den sprider automatiskt skadlig programvara via anslutna USB-enheter och upprättar kommunikation med hotaktörens Command-and-Control-servrar (C2, C&C). Det finns misstankar om att det representerar ett framsteg från en tidigare avslöjad PowerShell-baserad USB-mask, som forskare avslöjade i juni 2023.
Tillverkad i VBS tar spridarmodulen på sig ansvaret för att distribuera masken diskret inom en USB-enhet, åtföljd av en lockbete LNK med slumpmässigt tilldelade namn. Nomenklaturen "LitterDrifter" är härledd från den initiala orkestreringskomponenten som heter 'trash.dll'.
Gamaredon antar en distinkt strategi för C&C, och använder domäner som platshållare för de faktiska IP-adresserna som används som C2-servrar.
Dessutom uppvisar LitterDrifter förmågan att ansluta till en C&C-server extraherad från en Telegram-kanal, en taktik som konsekvent använts av hotaktören sedan början av 2023. Cybersäkerhetsexperter har identifierat potentiella tecken på infektion utanför Ukraina, med upptäckter som indikerar aktivitet i USA, Vietnam , Chile, Polen, Tyskland och Hong Kong.
Gamaredon utvecklar sina attacktekniker
Under hela innevarande år har Gamaredon upprätthållit en aktiv närvaro och konsekvent anpassat sina attackstrategier. I juli 2023 blev motståndarens snabba dataexfiltreringsförmåga uppenbar, eftersom hotaktören lyckades överföra känslig information inom bara en timme efter den första kompromissen.
Det är uppenbart att LitterDrifter är speciellt framtaget för att underlätta en omfattande insamlingsoperation. Genom att använda enkla men effektiva tekniker säkerställer skadlig programvara att den kan nå ett brett spektrum av mål i regionen.
Hotskådespelare visar ökad aktivitet sedan starten av kriget mellan Ryssland och Ukraina
De utspelade händelserna sammanfaller med att Ukrainas nationella samordningscenter för cybersäkerhet (NCSCC) avslöjar incidenter med statligt sponsrade ryska hackare som orkestrerar attacker mot ambassader över hela Europa, inklusive Italien, Grekland, Rumänien och Azerbajdzjan.
Tillskrivna APT29 (även känd som Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard med flera), utnyttjar dessa intrång den nyligen avslöjade WinRAR-sårbarheten (CVE-2023-38831) genom bedrägliga lockbeten, såsom påståenden från BMW:s till salu, en tema som tidigare använts av hotaktören.
Attacksekvensen inleds med distribution av nätfiske-e-postmeddelanden till offer som innehåller en länk till en specialgjord ZIP-fil. Vid lansering utnyttjas felet för att hämta ett PowerShell-skript från en fjärrserver som finns på Ngrok. Det återkommande utnyttjandet av CVE-2023-38831-sårbarheten av ryska underrättelsetjänsters hackningsgrupper understryker dess ökande popularitet och sofistikering.
Dessutom har CERT-UA (Computer Emergency Response Team of Ukraine) avslöjat information om en nätfiskekampanj som sprider osäkra RAR-arkiv. Dessa arkiv påstår sig innehålla ett PDF-dokument från Ukrainas säkerhetstjänst (SBU). Men i verkligheten innehåller de en körbar fil som leder till distributionen av Remcos RAT .
