据观察,隶属于联邦安全局 (FSB) 的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为LitterDrifter的 USB 传播蠕虫。
Check Point详细介绍了Gamaredon(又名 Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm 和 Winterflounder)的最新战术,称该组织从事大规模攻击活动,随后“针对特定目标进行数据收集工作,其选择这些目标很可能是出于间谍目的。”
LitterDrifter 蠕虫病毒具有两个主要功能:通过连接的 USB 驱动器自动传播恶意软件以及与威胁参与者的命令和控制 (C&C) 服务器进行通信。它还被怀疑是基于 PowerShell 的 USB 蠕虫的进化版,赛门铁克曾于 2023 年 6 月披露过该蠕虫。
传播模块用 VBS 编写,负责将蠕虫作为 USB 驱动器中的隐藏文件以及分配了随机名称的诱饵 LNK 进行分发。该恶意软件之所以被命名为 LitterDrifter,是因为其初始协调组件被命名为“trash.dll”。
Check Point 解释说:“Gamaredon 的 C&C 方法相当独特,因为它利用域名作为实际用作 C2 服务器的流通 IP 地址的占位符。”
LitterDrifter 还能够连接到从 Telegram 频道提取的 C&C 服务器,至少从今年年初开始,它就在反复使用这种策略。
该网络安全公司表示,根据来自美国、越南、智利、波兰、德国和香港的 VirusTotal 提交的信息,它还检测到乌克兰境外可能存在感染迹象。
Gamaredon 今年表现活跃,同时不断改进其攻击方法。2023 年 7 月,对手的快速数据泄露能力曝光,威胁行为者在最初入侵后一小时内就传输了敏感信息。
“很明显,LitterDrifter 是为支持大规模收集行动而设计的,”该公司总结道,“它利用简单而有效的技术,来确保它能够实现该地区最广泛的目标。”
这一事态发展正值乌克兰国家网络安全协调中心(NCSCC)透露俄罗斯国家支持的黑客针对欧洲各地大使馆(包括意大利、希腊、罗马尼亚和阿塞拜疆)策划的网络攻击。
这些入侵是由APT29(又名 BlueBravo、Cloaked Ursa、Cozy Bear、Iron Hemlock、Midnight Blizzard 和 The Dukes)发起的,涉及利用最近披露的 WinRAR 漏洞(CVE-2023-38831),通过声称提供宝马汽车出售的诱饵进行攻击,该组织过去曾使用过这一主题。
攻击链首先向受害者发送网络钓鱼电子邮件,其中包含指向特制 ZIP 文件的链接,该文件启动后会利用该缺陷从 Ngrok 上托管的远程服务器检索 PowerShell 脚本。
NCSCC 表示:“俄罗斯情报部门黑客组织利用 CVE-2023-38831 漏洞的趋势令人担忧,这表明该漏洞越来越流行,也越来越复杂。。”
本周早些时候,乌克兰计算机紧急响应小组 (CERT-UA)发现了一场网络钓鱼活动,该活动传播恶意 RAR 档案,这些档案伪装成来自乌克兰安全局 (SBU) 的 PDF 文档,但实际上是一个可执行文件,可导致部署 Remcos RAT。
CERT-UA 正在追踪名为 UAC-0050 的活动,该活动还与 2023 年 2 月针对该国国家机关的另一连串网络攻击有关,目的是发送 Remcos RAT。