Ruští aktéři kybernetické špionáže přidružení k Federální bezpečnostní službě (FSB) byli pozorováni, jak při útocích namířených proti ukrajinským subjektům používají USB červa zvaného LitterDrifter.

Check Point, který podrobně popsal nejnovější taktiku Gamaredonu (aka Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm a Winterflounder), označil skupinu za zapojenou do rozsáhlých kampaní, po nichž následuje „úsilí o sběr dat zaměřené na konkrétní cíle, jejichž výběr je pravděpodobně motivován špionážními cíli”.

Červ LitterDrifter obsahuje dvě hlavní funkce: automatické šíření malwaru prostřednictvím připojených USB disků a také komunikaci se servery pro příkaz a řízení (C&C) aktéra hrozeb. Existuje také podezření, že jde o evoluci USB červa založeného na PowerShellu, který byl dříve objeven společností Symantec v červnu 2023.

Rozšiřovací modul, napsaný ve VBS, je zodpovědný za distribuci červa jako skrytého souboru na USB disku společně s návnadou LNK, které jsou přiřazena náhodná jména. Malware dostal své jméno LitterDrifter díky skutečnosti, že počáteční orchestrační komponenta se jmenuje “trash.dll.”

„Přístup Gamaredonu k C&C je poměrně unikátní, protože využívá domény jako zástupný symbol pro cirkulující IP adresy, které se skutečně používají jako servery C2,“ vysvětlil Check Point.

LitterDrifter se také dokáže připojit k serveru C&C extrahovanému z kanálu Telegram, což je taktika, kterou aktér opakovaně používá minimálně od začátku roku.

Společnost zabývající se kybernetickou bezpečností uvedla, že také zjistila známky možné infekce mimo Ukrajinu, z USA, Vietnamu, Chile, Polska, Německa a Hongkongu na základě dat VirusTotal.

Gamaredon byl letos aktivní a přitom neustále vyvíjel své útočné metody. V červenci 2023 vyšly najevo schopnosti protivníka pro rychlou exfiltraci dat, což s tím, že aktér hrozby přenesl citlivé informace do hodiny od prvního narušení.

“Je jasné, že LitterDrifter byl navržen tak, aby podporoval rozsáhlý sběr,” uzavřela společnost. “Využívá jednoduché, ale účinné techniky, aby zajistil, že dokáže dosáhnout co nejširšího možného souboru cílů v regionu.”

Tento vývoj přichází poté, co Ukrajinské národní centrum pro kybernetickou bezpečnost (NCSCC) odhalilo útoky organizované ruskými státem podporovanými hackery zaměřenými na ambasády v celé Evropě, včetně Itálie, Řecka, Rumunska a Ázerbájdžánu.

Narušení připisovaná APT29 (také známa jako BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard a The Dukes) zahrnují zneužití nedávno odhalené zranitelnosti WinRAR (CVE-2023-38831) prostřednictvím neškodně vyhlížejících návnad, které nabízí BMW k prodeji, což je téma, které se v minulosti využívalo.

Útokový řetězec začíná rozesíláním phishingových e-mailů obětem obsahujících odkaz na speciálně vytvořený soubor ZIP, který po spuštění zneužije chybu k načtení skriptu PowerShell ze vzdáleného serveru hostovaného na Ngroku.

„Trend zneužívání zranitelnosti CVE-2023-38831 hackerskými skupinami ruských zpravodajských služeb dokazuje jeho rostoucí popularitu a sofistikovanost,“ uvedlo NCSCC.

Ukrajinský tým Computer Emergency Response Team (CERT-UA) také odhalil phishingovou kampaň, která šíří škodlivé archivy RAR obsahující dokument PDF údajně od Bezpečnostní služby Ukrajiny (SBU), ale ve skutečnosti jde o spustitelný soubor, který vede k nasazení Remcos RAT.

CERT-UA sleduje aktivitu pod přezdívkou UAC-0050, která také souvisela s další záplavou kybernetických útoků zaměřených na státní orgány v zemi s cílem nasadit Remcos RAT.

Zdroj: thehackernews.com