LitterDrifter Worm
Ang mga operatiba ng cyber espionage na naka-link sa Federal Security Service (FSB) ng Russia ay natukoy na gumagamit ng USB-propagating worm na pinangalanang LitterDrifter sa mga pag-atake na nakadirekta sa mga entity ng Ukraine.
Ang entity na nag-oorkestra sa opensibong ito ay kinilala bilang Gamaredon , na kilala rin sa mga alias gaya ng Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm at Winterflounder. Ang mga kamakailang diskarte na ginamit ng mga hacker na ito ay nagpapakilala sa grupo bilang nagsasagawa ng malawak na mga kampanya, na sinusundan ng masusing pagsisikap sa pagkolekta ng data na naglalayong sa mga partikular na target. Ang pagpili sa mga target na ito ay ipinapalagay na hinihimok ng mga layunin ng espiya.
Talaan ng mga Nilalaman
Ang LitterDrifter ay Lumampas sa Mga Paunang Target Nito
Ipinagmamalaki ng LitterDrifter worm ang dalawang pangunahing pag-andar: awtomatiko itong nagpapakalat ng malware sa pamamagitan ng mga konektadong USB drive at nagtatatag ng komunikasyon sa mga server ng Command-and-Control (C2, C&C) ng threat actor. May mga hinala na ito ay kumakatawan sa isang pagsulong mula sa isang dating isiniwalat na USB worm na nakabatay sa PowerShell, na inihayag ng mga mananaliksik noong Hunyo 2023.
Ginawa sa VBS, ang spreader module ay may pananagutan sa pamamahagi ng worm nang maingat sa loob ng USB drive, na sinamahan ng isang decoy LNK na may mga random na itinalagang pangalan. Ang nomenclature na "LitterDrifter" ay nagmula sa paunang bahagi ng orkestrasyon na pinangalanang 'trash.dll.'
Gumagamit ang Gamaredon ng natatanging diskarte sa C&C, na gumagamit ng mga domain bilang mga placeholder para sa aktwal na mga IP address na ginagamit bilang mga C2 server.
Bukod dito, ipinapakita ng LitterDrifter ang kakayahang kumonekta sa isang server ng C&C na kinuha mula sa isang Telegram channel, isang taktika na patuloy na ginagamit ng aktor ng pagbabanta mula noong unang bahagi ng 2023. Natukoy ng mga eksperto sa cybersecurity ang mga potensyal na palatandaan ng impeksyon sa kabila ng Ukraine, na may mga detection na nagpapahiwatig ng aktibidad sa US, Vietnam , Chile, Poland, Germany at Hong Kong.
Ang Gamaredon ay Nagpapaunlad ng Mga Pamamaraan sa Pag-atake nito
Sa buong kasalukuyang taon, napanatili ng Gamaredon ang aktibong presensya, patuloy na inaangkop ang mga diskarte sa pag-atake nito. Noong Hulyo 2023, naging maliwanag ang mabilis na kakayahan ng kalaban sa pag-exfiltrate ng data, dahil nagawa ng threat actor na magpadala ng sensitibong impormasyon sa loob lamang ng isang oras ng unang kompromiso.
Ito ay maliwanag na ang LitterDrifter ay partikular na ginawa upang mapadali ang isang malawak na operasyon ng koleksyon. Gumagamit ng diretso ngunit mahusay na mga diskarte, tinitiyak ng malware na maaabot nito ang malawak na spectrum ng mga target sa rehiyon.
Nagpapakita ang Mga Aktor ng Banta ng Pagtaas ng Aktibidad Mula noong Simula ng Digmaang Russia-Ukraine
Ang mga nangyayaring kaganapan ay kasabay ng pagsisiwalat ng National Cybersecurity Coordination Center (NCSCC) ng Ukraine ng mga insidente ng mga hacker ng Russia na itinataguyod ng estado na nag-oorkestra ng mga pag-atake sa mga embahada sa buong Europa, kabilang ang Italy, Greece, Romania at Azerbaijan.
Iniuugnay sa APT29 (kilala rin bilang Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard at higit pa), sinasamantala ng mga panghihimasok na ito ang kamakailang nahayag na kahinaan ng WinRAR (CVE-2023-38831) sa pamamagitan ng mga mapanlinlang na pang-akit, tulad ng mga pag-aangkin ng mga BMW na ibinebenta, isang temang ginamit noon ng threat actor.
Nagsisimula ang pagkakasunud-sunod ng pag-atake sa pamamahagi ng mga email sa phishing sa mga biktima na naglalaman ng link sa isang espesyal na ginawang ZIP file. Sa paglunsad, ang kapintasan ay pinagsamantalahan upang kumuha ng PowerShell script mula sa isang malayuang server na naka-host sa Ngrok. Ang paulit-ulit na pagsasamantala sa kahinaan ng CVE-2023-38831 ng mga grupo ng pag-hack ng mga serbisyo ng paniktik ng Russia ay binibigyang-diin ang pagtaas ng katanyagan at pagiging sopistikado nito.
Higit pa rito, ang CERT-UA (ang Computer Emergency Response Team ng Ukraine) ay nagbunyag ng impormasyon tungkol sa isang kampanyang phishing na nagpapakalat ng mga hindi ligtas na RAR archive. Ang mga archive na ito ay sinasabing naglalaman ng PDF na dokumento mula sa Security Service of Ukraine (SBU). Gayunpaman, sa katotohanan, mayroon silang executable na humahantong sa pag-deploy ng Remcos RAT .
