หนอนครอกดริฟเตอร์
หน่วยปฏิบัติการจารกรรมทางไซเบอร์ที่เชื่อมโยงกับ Federal Security Service (FSB) ของรัสเซียถูกตรวจพบว่าใช้หนอนที่แพร่กระจายผ่าน USB ชื่อ LitterDrifter ในการโจมตีที่มุ่งเป้าไปที่หน่วยงานของยูเครน
หน่วยงานที่จัดการการโจมตีนี้ถูกระบุว่าเป็น Gamaredon หรือที่รู้จักกันในชื่อนามแฝง เช่น Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm และ Winterflounder กลยุทธ์ล่าสุดที่ใช้โดยแฮกเกอร์เหล่านี้กำหนดลักษณะของกลุ่มว่าดำเนินการรณรงค์อย่างกว้างขวาง ตามมาด้วยความพยายามในการรวบรวมข้อมูลอย่างพิถีพิถันโดยมุ่งเป้าไปที่เป้าหมายเฉพาะ การเลือกเป้าหมายเหล่านี้สันนิษฐานว่าขับเคลื่อนโดยวัตถุประสงค์ของการจารกรรม
สารบัญ
LitterDrifter แพร่กระจายไปไกลกว่าเป้าหมายเริ่มแรกแล้ว
เวิร์ม LitterDrifter มีฟังก์ชันหลักสองฟังก์ชัน: เผยแพร่มัลแวร์โดยอัตโนมัติผ่านไดรฟ์ USB ที่เชื่อมต่อ และสร้างการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ของผู้แสดงภัยคุกคาม มีข้อสงสัยว่ามันแสดงถึงความก้าวหน้าจากเวิร์ม USB ที่ใช้ PowerShell ที่เปิดเผยก่อนหน้านี้ ซึ่งนักวิจัยเปิดตัวในเดือนมิถุนายน 2023
โมดูลสเปรดเดอร์สร้างขึ้นใน VBS โดยมีหน้าที่กระจายเวิร์มอย่างระมัดระวังภายในไดรฟ์ USB พร้อมด้วยตัวล่อ LNK พร้อมชื่อที่ได้รับการสุ่มเลือก ระบบการตั้งชื่อ "LitterDrifter" มาจากองค์ประกอบการประสานเริ่มต้นที่ชื่อว่า 'trash.dll'
Gamaredon ใช้แนวทางที่โดดเด่นใน C&C โดยใช้โดเมนเป็นตัวยึดตำแหน่งสำหรับที่อยู่ IP จริงที่ใช้เป็นเซิร์ฟเวอร์ C2
ยิ่งไปกว่านั้น LitterDrifter ยังแสดงความสามารถในการเชื่อมต่อกับเซิร์ฟเวอร์ C&C ที่แยกมาจากช่องทาง Telegram ซึ่งเป็นกลยุทธ์ที่ผู้คุกคามใช้อย่างต่อเนื่องตั้งแต่ต้นปี 2023 ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ระบุสัญญาณที่อาจเป็นไปได้ของการติดเชื้อนอกเหนือจากยูเครน ด้วยการตรวจจับที่บ่งบอกถึงกิจกรรมในสหรัฐอเมริกา เวียดนาม ,ชิลี,โปแลนด์,เยอรมนี และฮ่องกง
Gamaredon กำลังพัฒนาเทคนิคการโจมตี
ตลอดทั้งปีปัจจุบัน Gamaredon ยังคงรักษาสถานะที่กระตือรือร้น โดยปรับกลยุทธ์การโจมตีอย่างต่อเนื่อง ในเดือนกรกฎาคม ปี 2023 ความสามารถในการกรองข้อมูลที่รวดเร็วของฝ่ายตรงข้ามปรากฏชัดเจน เนื่องจากผู้คุกคามสามารถส่งข้อมูลที่ละเอียดอ่อนได้ภายในเวลาเพียงหนึ่งชั่วโมงนับจากการประนีประนอมครั้งแรก
เห็นได้ชัดว่า LitterDrifter ได้รับการประดิษฐ์ขึ้นเป็นพิเศษเพื่ออำนวยความสะดวกในการดำเนินการรวบรวมอย่างกว้างขวาง ด้วยการใช้เทคนิคที่ตรงไปตรงมาและมีประสิทธิภาพ ทำให้มัลแวร์มั่นใจได้ว่าจะสามารถเข้าถึงเป้าหมายที่หลากหลายในภูมิภาคได้
ผู้คุกคามแสดงกิจกรรมเพิ่มขึ้นนับตั้งแต่เริ่มสงครามรัสเซีย-ยูเครน
เหตุการณ์ที่เกิดขึ้นเกิดขึ้นพร้อมกับศูนย์ประสานงานความปลอดภัยทางไซเบอร์แห่งชาติของยูเครน (NCSCC) ที่เปิดเผยเหตุการณ์ของแฮกเกอร์ชาวรัสเซียที่ได้รับการสนับสนุนจากรัฐ ซึ่งกำลังเตรียมการโจมตีสถานทูตทั่วยุโรป รวมถึงอิตาลี กรีซ โรมาเนีย และอาเซอร์ไบจาน
เนื่องจาก APT29 (หรือที่รู้จักกันในชื่อ Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard และอื่นๆ) การบุกรุกเหล่านี้ใช้ประโยชน์จากช่องโหว่ WinRAR ที่เปิดเผยเมื่อเร็วๆ นี้ (CVE-2023-38831) ผ่านการล่อลวงที่หลอกลวง เช่น การอ้างว่าขาย BMW, ธีมที่ใช้ก่อนหน้านี้โดยผู้แสดงภัยคุกคาม
ลำดับการโจมตีเริ่มต้นด้วยการส่งอีเมลฟิชชิ่งไปยังเหยื่อที่มีลิงก์ไปยังไฟล์ ZIP ที่จัดทำขึ้นเป็นพิเศษ เมื่อเปิดตัว ข้อบกพร่องดังกล่าวจะถูกนำไปใช้เพื่อดึงสคริปต์ PowerShell จากเซิร์ฟเวอร์ระยะไกลที่โฮสต์บน Ngrok การใช้ประโยชน์ซ้ำๆ ของช่องโหว่ CVE-2023-38831 โดยกลุ่มแฮ็กหน่วยข่าวกรองรัสเซีย ตอกย้ำความนิยมและความซับซ้อนที่เพิ่มขึ้น
นอกจากนี้ CERT-UA (ทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ของประเทศยูเครน) ยังได้เปิดเผยข้อมูลเกี่ยวกับแคมเปญฟิชชิ่งที่เผยแพร่ไฟล์ RAR ที่ไม่ปลอดภัย เอกสารสำคัญเหล่านี้อ้างว่ามีเอกสาร PDF จากหน่วยบริการรักษาความปลอดภัยแห่งยูเครน (SBU) อย่างไรก็ตาม ในความเป็นจริง มีไฟล์ปฏิบัติการที่นำไปสู่การปรับใช้ Remcos RAT
