LitterDrifter புழு

ரஷ்யாவின் ஃபெடரல் செக்யூரிட்டி சர்வீஸுடன் (FSB) இணைக்கப்பட்ட சைபர் உளவுப் பணியாளர்கள் லிட்டர்டிரிஃப்டர் என்ற USB-பிரசாரம் செய்யும் புழுவை உக்ரேனிய நிறுவனங்களைத் தாக்கியது கண்டறியப்பட்டுள்ளது.

இந்தத் தாக்குதலைத் திட்டமிடும் நிறுவனம் Gamaredon என அடையாளம் காணப்பட்டது, அக்வா பனிப்புயல், அயர்ன் டில்டன், ப்ரிமிட்டிவ் பியர், ஷக்வார்ம் மற்றும் வின்டர்ஃப்ளவுண்டர் போன்ற மாற்றுப்பெயர்களால் அறியப்படுகிறது. இந்த ஹேக்கர்களால் கையாளப்பட்ட சமீபத்திய உத்திகள் குழுவை விரிவான பிரச்சாரங்களை நடத்துவதாக வகைப்படுத்துகின்றன, அதைத் தொடர்ந்து குறிப்பிட்ட இலக்குகளை இலக்காகக் கொண்ட துல்லியமான தரவு சேகரிப்பு முயற்சிகள். இந்த இலக்குகளின் தேர்வு உளவு நோக்கங்களால் உந்தப்பட்டதாகக் கருதப்படுகிறது.

LitterDrifter அதன் ஆரம்ப இலக்குகளுக்கு அப்பால் பரவியுள்ளது

LitterDrifter worm இரண்டு முதன்மை செயல்பாடுகளைக் கொண்டுள்ளது: இது இணைக்கப்பட்ட USB டிரைவ்கள் மூலம் தானாகவே தீம்பொருளைப் பரப்புகிறது மற்றும் அச்சுறுத்தல் நடிகரின் கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) சேவையகங்களுடன் தொடர்பை ஏற்படுத்துகிறது. ஜூன் 2023 இல் ஆராய்ச்சியாளர்கள் வெளியிட்ட பவர்ஷெல்-அடிப்படையிலான யூ.எஸ்.பி புழுவின் முன்னேற்றத்தை இது பிரதிபலிக்கிறது என்ற சந்தேகம் உள்ளது.

VBS இல் வடிவமைக்கப்பட்ட, ஸ்ப்ரேடர் தொகுதியானது USB டிரைவிற்குள் புழுவை புத்திசாலித்தனமாக விநியோகிக்கும் பொறுப்பை ஏற்றுக்கொள்கிறது, அதனுடன் தோராயமாக ஒதுக்கப்பட்ட பெயர்களுடன் ஒரு டிகோய் LNK உள்ளது. "LitterDrifter" என்ற பெயரிடல் 'trash.dll' என பெயரிடப்பட்ட ஆரம்ப இசைக்குழு கூறுகளிலிருந்து பெறப்பட்டது.

கேமரேடன் C&Cக்கு ஒரு தனித்துவமான அணுகுமுறையை ஏற்றுக்கொள்கிறது, C2 சேவையகங்களாகப் பயன்படுத்தப்படும் உண்மையான IP முகவரிகளுக்கு டொமைன்களை பிளேஸ்ஹோல்டர்களாகப் பயன்படுத்துகிறது.

மேலும், LitterDrifter டெலிகிராம் சேனலில் இருந்து பிரித்தெடுக்கப்பட்ட C&C சர்வருடன் இணைக்கும் திறனை வெளிப்படுத்துகிறது, இது 2023 ஆம் ஆண்டின் தொடக்கத்தில் இருந்து அச்சுறுத்தல் நடிகரால் தொடர்ந்து கையாண்ட யுக்தியாகும். சைபர் பாதுகாப்பு வல்லுநர்கள் உக்ரைனுக்கு அப்பால் தொற்றுநோய்க்கான சாத்தியக்கூறுகளை அடையாளம் கண்டுள்ளனர். , சிலி, போலந்து, ஜெர்மனி மற்றும் ஹாங்காங்.

Gamaredon அதன் தாக்குதல் நுட்பங்களை உருவாக்குகிறது

நடப்பு ஆண்டு முழுவதும், Gamaredon அதன் தாக்குதல் உத்திகளைத் தொடர்ந்து மாற்றியமைத்து, செயலில் முன்னிலையில் உள்ளது. ஜூலை 2023 இல், ஆரம்ப சமரசத்தின் ஒரு மணி நேரத்திற்குள் அச்சுறுத்தல் நடிகர் முக்கியமான தகவல்களை அனுப்ப முடிந்ததால், எதிரியின் விரைவான தரவு வெளியேற்றும் திறன் தெளிவாகத் தெரிந்தது.

LitterDrifter ஒரு விரிவான சேகரிப்பு நடவடிக்கையை எளிதாக்கும் வகையில் வடிவமைக்கப்பட்டது என்பது தெளிவாகிறது. நேரடியான மற்றும் திறமையான நுட்பங்களைப் பயன்படுத்துவதன் மூலம், தீம்பொருள் பிராந்தியத்தில் பரந்த அளவிலான இலக்குகளை அடைய முடியும் என்பதை உறுதி செய்கிறது.

ரஷ்யா-உக்ரைன் போரின் தொடக்கத்திலிருந்து அச்சுறுத்தல் நடிகர்கள் செயல்பாடு அதிகரிப்பதைக் காட்டுகிறது

இத்தாலி, கிரீஸ், ருமேனியா மற்றும் அஜர்பைஜான் உட்பட ஐரோப்பா முழுவதும் உள்ள தூதரகங்கள் மீது அரசு ஆதரவுடன் ரஷ்ய ஹேக்கர்கள் தாக்குதல்களை நடத்தும் சம்பவங்களை உக்ரைனின் தேசிய சைபர் பாதுகாப்பு ஒருங்கிணைப்பு மையம் (NCSCC) வெளிப்படுத்திய நிகழ்வுகள் வெளிவருகின்றன.

APT29 (Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard மற்றும் பல) என அழைக்கப்படும், இந்த ஊடுருவல்கள் சமீபத்தில் வெளிப்படுத்தப்பட்ட WinRAR பாதிப்பை (CVE-2023-38831) ஏமாற்றும் கவர்ச்சிகள் மூலம் பயன்படுத்திக் கொள்கின்றன. அச்சுறுத்தல் நடிகரால் முன்பு பயன்படுத்தப்பட்ட தீம்.

சிறப்பாக வடிவமைக்கப்பட்ட ZIP கோப்பிற்கான இணைப்பைக் கொண்ட பாதிக்கப்பட்டவர்களுக்கு ஃபிஷிங் மின்னஞ்சல்களை விநியோகிப்பதன் மூலம் தாக்குதல் வரிசை தொடங்குகிறது. தொடங்கும் போது, Ngrok இல் ஹோஸ்ட் செய்யப்பட்ட ரிமோட் சர்வரில் இருந்து PowerShell ஸ்கிரிப்டைப் பெற இந்த குறைபாடு பயன்படுத்தப்படுகிறது. ரஷ்ய உளவுத்துறை சேவைகள் ஹேக்கிங் குழுக்களால் CVE-2023-38831 பாதிப்பு மீண்டும் மீண்டும் சுரண்டப்படுவது அதன் அதிகரித்து வரும் பிரபலத்தையும் நுட்பத்தையும் அடிக்கோடிட்டுக் காட்டுகிறது.

மேலும், CERT-UA (உக்ரைனின் கணினி அவசரநிலைப் பதிலளிப்புக் குழு) பாதுகாப்பற்ற RAR காப்பகங்களைப் பரப்பும் ஃபிஷிங் பிரச்சாரம் பற்றிய தகவலை வெளிப்படுத்தியுள்ளது. இந்த காப்பகங்கள் உக்ரைனின் பாதுகாப்பு சேவையின் (SBU) PDF ஆவணத்தைக் கொண்டிருப்பதாகக் கூறுகின்றன. இருப்பினும், உண்மையில், அவர்கள் ரெம்கோஸ் RAT ஐப் பயன்படுத்துவதற்கு வழிவகுக்கும் ஒரு இயங்கக்கூடியது.