LitterDrifter knyttet til Russian Cybercrime Group

Russiske cyberspionageaktører med tilknytning til Federal Security Service (FSB) er blevet observeret bruge en USB-forplantende orm ved navn LitterDrifter i angreb rettet mod ukrainske enheder. Check Point, som skitserede den seneste taktik for gruppen kendt som Gamaredon (også omtalt som Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm og Winterflounder), karakteriserede dem som at gennemføre omfattende kampagner efterfulgt af målrettede dataindsamlingsbestræbelser, sandsynligvis drevet af spionagemål.

LitterDrifter-ormen omfatter to primære funktioner: automatisk spredning af malware gennem tilsluttede USB-drev og kommunikation med trusselsaktørens kommando-og-kontrol-servere (C&C). Det er mistænkt for at være en fremgang af en PowerShell-baseret USB-orm, som Symantec afslørede i juni 2023.

LitterDrifter i detaljer

Udviklet i VBS er spredermodulet ansvarligt for at sprede ormen som en skjult fil i et USB-drev sammen med en lokke-LNK-fil med tilfældige navne. Navnet "LitterDrifter" er afledt af den oprindelige orkestreringskomponent med navnet "trash.dll."

Gamaredons karakteristiske tilgang til C&C involverer at bruge domæner som pladsholdere for de faktiske IP-adresser på de cirkulerende C2-servere, som forklaret af Check Point. Derudover kan LitterDrifter oprette forbindelse til en C&C-server, der er hentet fra en Telegram-kanal, en taktik, der konsekvent har været anvendt af trusselsaktøren siden i det mindste begyndelsen af året.

Cybersikkerhedsfirmaet bemærkede også indikationer på potentielle infektioner uden for Ukraine, baseret på VirusTotal-indsendelser fra USA, Vietnam, Chile, Polen, Tyskland og Hong Kong.

Hvad er Worm Malware?

En orm er en type ondsindet software (malware), der er designet til at replikere sig selv og sprede sig til andre computere eller enheder selvstændigt, ofte uden behov for menneskelig indgriben. I modsætning til virus behøver orme ikke at knytte sig til eksisterende programmer eller filer for at sprede sig; de kan selvstændigt rejse på tværs af netværk og systemer.

Nøglekarakteristika ved orm-malware omfatter:

• Selvudbredelse: Orme er programmeret til uafhængigt at replikere og spredes på tværs af tilsluttede enheder eller netværk. De kan udnytte sårbarheder i operativsystemer eller applikationer til at inficere andre computere.
• Autonomi: Orme fungerer uden direkte menneskelig involvering. Når først et system er inficeret, kan ormen aktivt opsøge og inficere andre sårbare systemer uden at kræve brugerhandling.
• Netværksbaseret spredning: Orme spredes ofte gennem netværksforbindelser, såsom internettet, lokale netværk (LAN) eller flytbare medier som USB-drev. De kan udnytte svagheder i netværksprotokoller til at flytte fra et system til et andet.
• Nyttelast: Ud over at replikere kan orme bære en nyttelast, som er den faktiske ondsindede aktivitet, de er designet til at udføre. Dette kan omfatte beskadigelse eller sletning af filer, stjæle information eller facilitering af andre former for cyberangreb.
• Vedholdenhed: Nogle orme er designet til at forblive aktive på inficerede systemer over en længere periode, hvilket giver dem mulighed for at fortsætte deres ondsindede aktiviteter eller modtage opdaterede instruktioner fra en ekstern kommando-og-kontrol-server.