LitterDrifter ist mit der russischen Cybercrime-Gruppe verbunden

Es wurde beobachtet, dass russische Cyberspionageakteure, die mit dem Bundessicherheitsdienst (FSB) in Verbindung stehen, bei Angriffen auf ukrainische Unternehmen einen USB-verbreitenden Wurm namens LitterDrifter einsetzen. Check Point, der die jüngsten Taktiken der als Gamaredon bekannten Gruppe (auch bekannt als Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm und Winterflounder) darlegte, charakterisierte sie als die Durchführung umfangreicher Kampagnen, gefolgt von gezielten Datenerfassungsbemühungen, die wahrscheinlich von vorangetrieben wurden Spionageziele.

Der LitterDrifter-Wurm umfasst zwei Hauptfunktionen: die automatische Verbreitung der Malware über angeschlossene USB-Laufwerke und die Kommunikation mit den Command-and-Control-Servern (C&C) des Bedrohungsakteurs. Es wird vermutet, dass es sich um eine Weiterentwicklung eines PowerShell-basierten USB-Wurms handelt, den Symantec im Juni 2023 veröffentlicht hat.

LitterDrifter im Detail

Das in VBS entwickelte Spreader-Modul ist für die Verbreitung des Wurms als versteckte Datei auf einem USB-Laufwerk zusammen mit einer Lockvogel-LNK-Datei mit zufälligen Namen verantwortlich. Der Name „LitterDrifter“ leitet sich von der ursprünglichen Orchestrierungskomponente mit dem Namen „trash.dll“ ab.

Gamaredons einzigartiger C&C-Ansatz besteht darin, Domänen als Platzhalter für die tatsächlichen IP-Adressen der zirkulierenden C2-Server zu verwenden, wie Check Point erklärt. Darüber hinaus kann LitterDrifter eine Verbindung zu einem C&C-Server herstellen, der über einen Telegram-Kanal bezogen wird, eine Taktik, die der Bedrohungsakteur seit mindestens Anfang des Jahres konsequent anwendet.

Das Cybersicherheitsunternehmen stellte auch Hinweise auf potenzielle Infektionen außerhalb der Ukraine fest, basierend auf VirusTotal-Eingaben aus den USA, Vietnam, Chile, Polen, Deutschland und Hongkong.

Was ist Wurm-Malware?

Ein Wurm ist eine Art bösartiger Software (Malware), die darauf ausgelegt ist, sich autonom zu replizieren und auf andere Computer oder Geräte zu verbreiten, oft ohne dass ein menschliches Eingreifen erforderlich ist. Im Gegensatz zu Viren müssen sich Würmer zur Verbreitung nicht an vorhandene Programme oder Dateien anhängen; Sie können selbstständig über Netzwerke und Systeme reisen.

Zu den Hauptmerkmalen von Wurm-Malware gehören:

• Selbstausbreitung: Würmer sind so programmiert, dass sie sich selbstständig replizieren und über verbundene Geräte oder Netzwerke verbreiten. Sie können Schwachstellen in Betriebssystemen oder Anwendungen ausnutzen, um andere Computer zu infizieren.
• Autonomie: Würmer funktionieren ohne direkte menschliche Beteiligung. Sobald ein System infiziert ist, kann der Wurm aktiv nach anderen anfälligen Systemen suchen und diese infizieren, ohne dass ein Eingreifen des Benutzers erforderlich ist.
• Netzwerkbasierte Verbreitung: Würmer verbreiten sich häufig über Netzwerkverbindungen wie das Internet, lokale Netzwerke (LANs) oder Wechselmedien wie USB-Laufwerke. Sie können Schwachstellen in Netzwerkprotokollen ausnutzen, um von einem System auf ein anderes zu wechseln.
• Nutzlast: Würmer können nicht nur replizieren, sondern auch eine Nutzlast in sich tragen, also die eigentliche schädliche Aktivität, für die sie entwickelt wurden. Dazu kann das Beschädigen oder Löschen von Dateien, der Diebstahl von Informationen oder die Begünstigung anderer Formen von Cyberangriffen gehören.
• Persistenz: Einige Würmer sind so konzipiert, dass sie über einen längeren Zeitraum auf infizierten Systemen aktiv bleiben, sodass sie ihre schädlichen Aktivitäten fortsetzen oder aktualisierte Anweisungen von einem Remote-Befehls- und Kontrollserver erhalten können.