Черв'як LitterDrifter
Оперативники кібершпигунства, пов’язані з Федеральною службою безпеки Росії (ФСБ), були виявлені у використанні хробака LitterDrifter, що поширюється через USB, для нападів на українські організації.
Сутність, яка організувала цей наступ, ідентифікована як Гамаредон , також відомий під такими псевдонімами, як Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm і Winterflounder. Останні стратегії, використані цими хакерами, характеризують угруповання як те, що проводить широкі кампанії, а потім ретельно збирає дані, спрямовані на конкретні цілі. Передбачається, що вибір цих цілей обумовлений шпигунськими цілями.
Зміст
LitterDrifter поширився за межі своїх початкових цілей
Черв'як LitterDrifter має дві основні функції: він автоматично розповсюджує зловмисне програмне забезпечення через підключені USB-накопичувачі та встановлює зв'язок із серверами командування та керування (C2, C&C) зловмисника. Є підозри, що він є прогресом раніше розкритого USB-хробака на основі PowerShell, якого дослідники оприлюднили в червні 2023 року.
Створений у VBS, модуль розповсюдження бере на себе відповідальність за непомітне розповсюдження хробака на USB-накопичувачі разом із приманкою LNK із випадково призначеними іменами. Номенклатура "LitterDrifter" походить від початкового компонента оркестровки під назвою "trash.dll".
Gamaredon використовує особливий підхід до C&C, використовуючи домени як заповнювачі для фактичних IP-адрес, які використовуються як сервери C2.
Крім того, LitterDrifter демонструє можливість підключення до C&C-сервера, отриманого з каналу Telegram, — тактика, яку зловмисник постійно використовує з початку 2023 року. Експерти з кібербезпеки виявили потенційні ознаки зараження за межами України, виявлення яких вказує на активність у США та В’єтнамі. , Чилі, Польщі, Німеччини та Гонконгу.
Gamaredon розвиває свої методи атаки
Протягом поточного року Gamaredon зберігає активну присутність, послідовно адаптуючи свої стратегії атаки. У липні 2023 року стала очевидною майстерність зловмисника щодо швидкого викрадання даних, оскільки зловмиснику вдалося передати конфіденційну інформацію лише за годину після початкового злому.
Очевидно, що LitterDrifter було створено спеціально для полегшення масштабної операції збору. Використовуючи прості, але ефективні методи, зловмисне програмне забезпечення гарантує, що воно може охопити широкий спектр цілей у регіоні.
З початку російсько-української війни активізувалися загрозливі особи
Події, що розгортаються, збігаються з оприлюдненням Національним координаційним центром з кібербезпеки України (НКЦКБ) інцидентів, пов’язаних із спонсорованими державою російськими хакерами, які організували атаки на посольства в Європі, включаючи Італію, Грецію, Румунію та Азербайджан.
Віднесені до APT29 (також відомого як Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard тощо), ці вторгнення використовують нещодавно виявлену вразливість WinRAR (CVE-2023-38831) через оманливі спокуси, такі як заяви про продаж BMW, тема, яку раніше використовував актор загрози.
Послідовність атаки починається з розсилки жертвам фішингових електронних листів із посиланням на спеціально створений ZIP-файл. Під час запуску недолік використовується для отримання сценарію PowerShell із віддаленого сервера, розміщеного на Ngrok. Постійне використання уразливості CVE-2023-38831 хакерськими групами російських спецслужб підкреслює її зростаючу популярність і витонченість.
Крім того, CERT-UA (група реагування на комп’ютерні надзвичайні ситуації України) розкрила інформацію про фішингову кампанію з поширення небезпечних RAR-архівів. Ці архіви нібито містять PDF-документ Служби безпеки України (СБУ). Однак насправді вони містять виконуваний файл, який веде до розгортання Remcos RAT .
