垃圾漂流虫

与俄罗斯联邦安全局 (FSB) 有关的网络间谍活动被发现使用名为 LitterDrifter 的 USB 传播蠕虫来针对乌克兰实体进行攻击。

策划这次攻势的实体被确定为加玛瑞顿 (Gamaredon) ，也被称为水色暴雪 (Aqua Blizzard)、钢铁蒂尔登 (Iron Tilden)、原始熊 (Primitive Bear)、沙克虫 (Shuckworm) 和冬鲽鱼 (Winterflounder)。这些黑客最近采用的策略将该组织描述为开展广泛的活动，然后针对特定目标进行细致的数据收集工作。据推测，这些目标的选择是出于间谍目的。

LitterDrifter 的传播范围已超出其最初目标

LitterDrifter 蠕虫病毒具有两个主要功能：它通过连接的 USB 驱动器自动传播恶意软件，并与威胁参与者的命令和控制（C2、C&C）服务器建立通信。有人怀疑它代表了研究人员于 2023 年 6 月披露的先前披露的基于 PowerShell 的 USB 蠕虫的进步。

传播器模块采用 VBS 制作，负责在 USB 驱动器内谨慎地传播蠕虫，并附有随机分配名称的诱饵 LNK。术语“LitterDrifter”源自名为“trash.dll”的初始编排组件。

Gamaredon 采用独特的 C&C 方法，利用域名作为用作 C2 服务器的实际 IP 地址的占位符。

此外，LitterDrifter 还具有连接到从 Telegram 频道提取的 C&C 服务器的能力，这是威胁行为者自 2023 年初以来一直采用的策略。网络安全专家已经发现了乌克兰以外地区的潜在感染迹象，检测结果表明该病毒在美国、越南有活动、智利、波兰、德国和香港。

Gamaredon 正在改进其攻击技术

今年全年，Gamaredon 一直保持活跃状态，不断调整其攻击策略。 2023 年 7 月，对手的快速数据泄露能力变得显而易见，威胁行为者在最初入侵后的短短一小时内就成功传输了敏感信息。

显然，LitterDrifter 是专门为促进广泛的收集操作而设计的。该恶意软件采用简单而高效的技术，确保其能够到达该地区的广泛目标。

自俄罗斯-乌克兰战争爆发以来，威胁行为者的活动有所增加

事件发生之际，乌克兰国家网络安全协调中心（NCSCC）披露了国家支持的俄罗斯黑客策划对欧洲各国大使馆发起攻击的事件，其中包括意大利、希腊、罗马尼亚和阿塞拜疆。

这些入侵归因于APT29 （也称为 Cloaked Ursa、Cosy Bear、Iron Hemlock、Midnight Blizzard 等），通过欺骗性诱饵（例如声称出售 BMW、威胁行为者之前使用的主题。

攻击序列首先向受害者分发网络钓鱼电子邮件，其中包含指向特制 ZIP 文件的链接。启动后，该缺陷被利用从 Ngrok 托管的远程服务器获取 PowerShell 脚本。俄罗斯情报服务黑客组织反复利用 CVE-2023-38831 漏洞，凸显了该漏洞的日益普及和复杂性。

此外，CERT-UA（乌克兰计算机紧急响应小组）披露了有关传播不安全 RAR 档案的网络钓鱼活动的信息。这些档案据称包含乌克兰安全局 (SBU) 的 PDF 文档。然而，实际上，它们包含一个可导致部署Remcos RAT的可执行文件。