లిట్టర్‌డ్రిఫ్టర్ వార్మ్

రష్యా యొక్క ఫెడరల్ సెక్యూరిటీ సర్వీస్ (FSB)కి అనుసంధానించబడిన సైబర్ గూఢచర్య కార్యకర్తలు ఉక్రేనియన్ సంస్థలపై జరిపిన దాడులలో LitterDrifter అనే USB-ప్రచారం చేసే పురుగును ఉపయోగిస్తున్నట్లు కనుగొనబడింది.

ఆక్వా బ్లిజార్డ్, ఐరన్ టిల్డెన్, ప్రిమిటివ్ బేర్, షక్‌వార్మ్ మరియు వింటర్‌ఫ్లోండర్ వంటి మారుపేర్లతో కూడా పిలువబడే ఈ ప్రమాదకరాన్ని ఆర్కెస్ట్రేట్ చేసే ఎంటిటీని Gamaredon గా గుర్తించారు. ఈ హ్యాకర్లు ఉపయోగించిన ఇటీవలి వ్యూహాలు సమూహాన్ని విస్తృతమైన ప్రచారాలను నిర్వహిస్తున్నట్లు వర్గీకరిస్తాయి, నిర్దిష్ట లక్ష్యాలను లక్ష్యంగా చేసుకుని ఖచ్చితమైన డేటా సేకరణ ప్రయత్నాలు ఉంటాయి. ఈ లక్ష్యాల ఎంపిక గూఢచర్య లక్ష్యాల ద్వారా నడపబడుతుందని భావించబడుతుంది.

LitterDrifter దాని ప్రారంభ లక్ష్యాలకు మించి విస్తరించింది

LitterDrifter వార్మ్ రెండు ప్రాథమిక కార్యాచరణలను కలిగి ఉంది: ఇది కనెక్ట్ చేయబడిన USB డ్రైవ్‌ల ద్వారా మాల్వేర్‌ను స్వయంచాలకంగా వ్యాప్తి చేస్తుంది మరియు థ్రెట్ యాక్టర్ యొక్క కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్‌లతో కమ్యూనికేషన్‌ను ఏర్పాటు చేస్తుంది. జూన్ 2023లో పరిశోధకులు ఆవిష్కరించిన పవర్‌షెల్ ఆధారిత USB వార్మ్‌ను గతంలో వెల్లడించిన దాని నుండి ఇది పురోగతిని సూచిస్తుందనే అనుమానాలు ఉన్నాయి.

VBSలో రూపొందించబడిన, స్ప్రెడర్ మాడ్యూల్ USB డ్రైవ్‌లో వార్మ్‌ను తెలివిగా పంపిణీ చేసే బాధ్యతను తీసుకుంటుంది, దానితో పాటుగా యాదృచ్ఛికంగా కేటాయించబడిన పేర్లతో ఒక డెకోయ్ LNK ఉంటుంది. "లిట్టర్‌డ్రిఫ్టర్" నామకరణం 'trash.dll' అనే ప్రారంభ ఆర్కెస్ట్రేషన్ భాగం నుండి తీసుకోబడింది.

Gamaredon C&Cకి ఒక విలక్షణమైన విధానాన్ని అవలంబిస్తుంది, C2 సర్వర్‌లుగా ఉపయోగించబడే వాస్తవ IP చిరునామాల కోసం డొమైన్‌లను ప్లేస్‌హోల్డర్‌లుగా ఉపయోగిస్తుంది.

అంతేకాకుండా, LitterDrifter టెలిగ్రామ్ ఛానెల్ నుండి సంగ్రహించబడిన C&C సర్వర్‌కు కనెక్ట్ చేయగల సామర్థ్యాన్ని ప్రదర్శిస్తుంది, ఇది 2023 ప్రారంభం నుండి ముప్పు నటుడు స్థిరంగా ఉపయోగించిన వ్యూహం. US, వియత్నాంలో కార్యకలాపాలను సూచించే గుర్తింపులతో సైబర్‌ సెక్యూరిటీ నిపుణులు ఉక్రెయిన్‌కు మించి సంక్రమణ సంభావ్య సంకేతాలను గుర్తించారు. , చిలీ, పోలాండ్, జర్మనీ మరియు హాంకాంగ్.

Gamaredon దాని అటాక్ టెక్నిక్‌లను అభివృద్ధి చేస్తోంది

ప్రస్తుత సంవత్సరం పొడవునా, Gamaredon తన దాడి వ్యూహాలను స్థిరంగా స్వీకరించి, క్రియాశీల ఉనికిని కొనసాగించింది. జూలై 2023లో, ప్రత్యర్థి యొక్క వేగవంతమైన డేటా ఎక్స్‌ఫిల్ట్రేషన్ పరాక్రమం స్పష్టంగా కనిపించింది, ఎందుకంటే బెదిరింపు నటుడు ప్రారంభ రాజీ నుండి కేవలం ఒక గంటలోపు సున్నితమైన సమాచారాన్ని ప్రసారం చేయగలిగాడు.

లిట్టర్‌డ్రిఫ్టర్ విస్తృతమైన సేకరణ ఆపరేషన్‌ను సులభతరం చేయడానికి ప్రత్యేకంగా రూపొందించబడిందని స్పష్టంగా తెలుస్తుంది. సూటిగా మరియు సమర్థవంతమైన సాంకేతికతలను ఉపయోగిస్తూ, మాల్వేర్ ఈ ప్రాంతంలోని విస్తృత లక్ష్యాలను చేరుకోగలదని నిర్ధారిస్తుంది.

రష్యా-ఉక్రెయిన్ యుద్ధం ప్రారంభమైనప్పటి నుండి బెదిరింపు నటులు కార్యాచరణను పెంచారు

ఇటలీ, గ్రీస్, రొమేనియా మరియు అజర్‌బైజాన్‌లతో సహా యూరప్‌లోని రాయబార కార్యాలయాలపై ప్రభుత్వ-ప్రాయోజిత రష్యన్ హ్యాకర్లు దాడులకు పాల్పడిన సంఘటనలను ఉక్రెయిన్ యొక్క నేషనల్ సైబర్‌సెక్యూరిటీ కోఆర్డినేషన్ సెంటర్ (NCSCC) బహిర్గతం చేసిన సంఘటనలు ఏకకాలంలో జరిగాయి.

APT29 (క్లోక్డ్ ఉర్సా, కోజీ బేర్, ఐరన్ హేమ్‌లాక్, మిడ్‌నైట్ బ్లిజార్డ్ మరియు మరిన్ని అని కూడా పిలుస్తారు)కి ఆపాదించబడింది, ఈ చొరబాట్లు ఇటీవల వెల్లడించిన WinRAR దుర్బలత్వాన్ని (CVE-2023-38831) మోసపూరిత ఎరల ద్వారా ఉపయోగించుకుంటాయి, అంటే అమ్మకానికి BMWల క్లెయిమ్‌లు, a గతంలో బెదిరింపు నటుడు ఉపయోగించిన థీమ్.

ప్రత్యేకంగా రూపొందించిన జిప్ ఫైల్‌కు లింక్‌ను కలిగి ఉన్న బాధితులకు ఫిషింగ్ ఇమెయిల్‌ల పంపిణీతో దాడి క్రమం ప్రారంభమవుతుంది. ప్రారంభించిన తర్వాత, Ngrokలో హోస్ట్ చేయబడిన రిమోట్ సర్వర్ నుండి PowerShell స్క్రిప్ట్‌ను పొందేందుకు లోపం ఉపయోగించబడింది. రష్యన్ గూఢచార సేవల హ్యాకింగ్ గ్రూపులచే CVE-2023-38831 దుర్బలత్వం యొక్క పునరావృత దోపిడీ దాని పెరుగుతున్న ప్రజాదరణ మరియు అధునాతనతను నొక్కి చెబుతుంది.

ఇంకా, CERT-UA (ఉక్రెయిన్ యొక్క కంప్యూటర్ ఎమర్జెన్సీ రెస్పాన్స్ టీమ్) సురక్షితం కాని RAR ఆర్కైవ్‌లను వ్యాప్తి చేసే ఫిషింగ్ ప్రచారం గురించి సమాచారాన్ని వెల్లడించింది. ఈ ఆర్కైవ్‌లు సెక్యూరిటీ సర్వీస్ ఆఫ్ ఉక్రెయిన్ (SBU) నుండి PDF డాక్యుమెంట్‌ను కలిగి ఉన్నట్లు భావిస్తున్నాయి. అయినప్పటికీ, వాస్తవానికి, వారు రెమ్‌కోస్ RAT యొక్క విస్తరణకు దారితీసే ఎక్జిక్యూటబుల్‌ను కలిగి ఉన్నారు.