垃圾漂流蟲

與俄羅斯聯邦安全局 (FSB) 有關的網路間諜活動被發現使用名為 LitterDrifter 的 USB 傳播蠕蟲來針對烏克蘭實體進行攻擊。

策劃這次攻勢的實體被確定為加瑪瑞頓 (Gamaredon) ，也被稱為水色暴雪(Aqua Blizzard)、鋼鐵蒂爾登(Iron Tilden)、原始熊(Primitive Bear)、沙剋蟲(Shuckworm)和冬鰈魚(Winterflounder)。這些駭客最近採用的策略將該組織描述為進行廣泛的活動，然後針對特定目標進行細緻的資料收集工作。據推測，這些目標的選擇是出於間諜目的。

LitterDrifter 的傳播範圍已超出其最初目標

LitterDrifter 蠕蟲病毒有兩個主要功能：它透過連接的 USB 隨身碟自動傳播惡意軟體，並與威脅參與者的命令和控制（C2、C&C）伺服器建立通訊。有人懷疑它代表了研究人員於 2023 年 6 月披露的先前披露的基於 PowerShell 的 USB 蠕蟲的進步。

傳播器模組採用 VBS 製作，負責在 USB 驅動器內謹慎地傳播蠕蟲，並附有隨機分配名稱的誘餌 LNK。術語“LitterDrifter”源自名為“trash.dll”的初始編排組件。

Gamaredon 採用獨特的 C&C 方法，利用網域名稱作為用作 C2 伺服器的實際 IP 位址的佔位符。

此外，LitterDrifter 還具有連接到從Telegram 頻道提取的C&C 伺服器的能力，這是威脅行為者自2023 年初以來一直採用的策略。網路安全專家已經發現了烏克蘭以外地區的潛在感染跡象，檢測結果表明該病毒在美國、越南有活動、智利、波蘭、德國和香港。

Gamaredon 正在改進其攻擊技術

今年全年，Gamaredon 一直保持活躍狀態，不斷調整其攻擊策略。 2023 年 7 月，對手的快速資料外洩能力變得顯而易見，威脅行為者在最初入侵後的短短一小時內就成功傳輸了敏感資訊。

顯然，LitterDrifter 是專門為促進廣泛的收集作業而設計的。該惡意軟體採用簡單而高效的技術，確保其能夠到達該地區的廣泛目標。

自俄羅斯-烏克蘭戰爭爆發以來，威脅行為者的活動增加

事件發生之際，烏克蘭國家網路安全協調中心（NCSCC）披露了國家支持的俄羅斯駭客策劃對歐洲各國大使館發動攻擊的事件，其中包括義大利、希臘、羅馬尼亞和亞塞拜然。

這些入侵歸因於APT29 （也稱為 Cloaked Ursa、Cosy Bear、Iron Hemlock、Midnight Blizzard 等），透過欺騙性誘餌（例如聲稱出售 BMW、威脅行為者之前使用的主題。

攻擊序列首先向受害者分發網路釣魚電子郵件，其中包含指向特製 ZIP 檔案的連結。啟動後，該缺陷被利用從 Ngrok 託管的遠端伺服器取得 PowerShell 腳本。俄羅斯情報服務駭客組織反覆利用 CVE-2023-38831 漏洞，凸顯了該漏洞的日益普及和複雜性。

此外，CERT-UA（烏克蘭電腦緊急應變小組）揭露了有關傳播不安全 RAR 檔案的網路釣魚活動的資訊。這些檔案據稱包含烏克蘭安全局 (SBU) 的 PDF 文件。然而，實際上，它們包含一個可導致部署Remcos RAT的可執行檔。