Xả rácTrôi Sâu
Các hoạt động gián điệp mạng có liên hệ với Cơ quan An ninh Liên bang Nga (FSB) đã bị phát hiện sử dụng một loại sâu lây lan qua USB có tên LitterDrifter trong các cuộc tấn công nhắm vào các thực thể Ukraine.
Thực thể dàn dựng cuộc tấn công này được xác định là Gamaredon , còn được biết đến với các bí danh như Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm và Winterflounder. Các chiến lược gần đây được những tin tặc này sử dụng mô tả đặc điểm của nhóm là tiến hành các chiến dịch mở rộng, sau đó là nỗ lực thu thập dữ liệu tỉ mỉ nhằm vào các mục tiêu cụ thể. Việc lựa chọn các mục tiêu này được cho là được thúc đẩy bởi các mục tiêu gián điệp.
Mục lục
LitterDrifter đã vượt xa mục tiêu ban đầu của nó
Sâu LitterDrifter có hai chức năng chính: nó tự động phát tán phần mềm độc hại thông qua các ổ USB được kết nối và thiết lập liên lạc với máy chủ Command-and-Control (C2, C&C) của kẻ đe dọa. Có những nghi ngờ rằng nó đại diện cho một tiến bộ từ sâu USB dựa trên PowerShell đã được tiết lộ trước đó, mà các nhà nghiên cứu đã tiết lộ vào tháng 6 năm 2023.
Được chế tạo bằng VBS, mô-đun phát tán đảm nhận trách nhiệm phát tán sâu một cách kín đáo trong ổ USB, kèm theo LNK mồi nhử với các tên được gán ngẫu nhiên. Danh pháp "LitterDrifter" có nguồn gốc từ thành phần điều phối ban đầu có tên là 'trash.dll.'
Gamaredon áp dụng một cách tiếp cận đặc biệt đối với C&C, sử dụng tên miền làm phần giữ chỗ cho các địa chỉ IP thực tế được sử dụng làm máy chủ C2.
Hơn nữa, LitterDrifter còn thể hiện khả năng kết nối với máy chủ C&C được trích xuất từ kênh Telegram, một chiến thuật được kẻ tấn công liên tục sử dụng kể từ đầu năm 2023. Các chuyên gia an ninh mạng đã xác định được các dấu hiệu lây nhiễm tiềm ẩn bên ngoài Ukraine, với các phát hiện cho thấy hoạt động ở Mỹ, Việt Nam , Chile, Ba Lan, Đức và Hồng Kông.
Gamaredon đang phát triển kỹ thuật tấn công của mình
Trong suốt năm hiện tại, Gamaredon đã duy trì sự hiện diện tích cực, liên tục điều chỉnh các chiến lược tấn công của mình. Vào tháng 7 năm 2023, khả năng đánh cắp dữ liệu nhanh chóng của kẻ thù đã trở nên rõ ràng khi kẻ đe dọa tìm cách truyền thông tin nhạy cảm chỉ trong vòng một giờ kể từ lần xâm phạm ban đầu.
Rõ ràng là LitterDrifter được chế tạo đặc biệt để tạo điều kiện thuận lợi cho hoạt động thu thập rộng rãi. Sử dụng các kỹ thuật đơn giản nhưng hiệu quả, phần mềm độc hại đảm bảo nó có thể tiếp cận nhiều mục tiêu trong khu vực.
Những kẻ đe dọa cho thấy hoạt động gia tăng kể từ khi bắt đầu Chiến tranh Nga-Ukraine
Các sự kiện đang diễn ra trùng hợp với việc Trung tâm Điều phối An ninh mạng Quốc gia Ukraine (NCSCC) tiết lộ các vụ tin tặc Nga được nhà nước bảo trợ dàn dựng các cuộc tấn công vào các đại sứ quán trên khắp châu Âu, bao gồm Ý, Hy Lạp, Romania và Azerbaijan.
Được quy cho APT29 (còn được gọi là Cloaked Ursa, Cosy Bear, Iron Hemlock, Midnight Blizzard, v.v.), những cuộc xâm nhập này khai thác lỗ hổng WinRAR được tiết lộ gần đây (CVE-2023-38831) thông qua các chiêu dụ lừa đảo, chẳng hạn như tuyên bố bán xe BMW, một chủ đề trước đây được kẻ đe dọa sử dụng.
Chuỗi tấn công bắt đầu bằng việc phân phối các email lừa đảo tới các nạn nhân có chứa liên kết đến tệp ZIP được tạo đặc biệt. Khi khởi chạy, lỗ hổng này bị khai thác để lấy tập lệnh PowerShell từ máy chủ từ xa được lưu trữ trên Ngrok. Việc các nhóm hack cơ quan tình báo Nga thường xuyên khai thác lỗ hổng CVE-2023-38831 cho thấy mức độ phổ biến và tinh vi ngày càng tăng của lỗ hổng này.
Hơn nữa, CERT-UA (Nhóm ứng phó khẩn cấp máy tính của Ukraine) đã tiết lộ thông tin về một chiến dịch lừa đảo phổ biến các kho lưu trữ RAR không an toàn. Những kho lưu trữ này có mục đích chứa một tài liệu PDF từ Cơ quan An ninh Ukraine (SBU). Tuy nhiên, trên thực tế, chúng chứa một tệp thực thi dẫn đến việc triển khai Remcos RAT .
