Το LitterDrifter συνδέεται με τη ρωσική ομάδα εγκλήματος στον κυβερνοχώρο

Ρώσοι φορείς κυβερνοκατασκοπείας που συνδέονται με την Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB) έχουν παρατηρηθεί να χρησιμοποιούν ένα σκουλήκι που διαδίδει USB με το όνομα LitterDrifter σε επιθέσεις που απευθύνονται σε ουκρανικές οντότητες. Το Check Point, το οποίο περιέγραψε τις πρόσφατες τακτικές της ομάδας που είναι γνωστή ως Gamaredon (επίσης αναφερόμενη ως Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm και Winterflounder), τις χαρακτήρισε ως διεξαγωγή εκτεταμένων εκστρατειών ακολουθούμενες από στοχευμένες προσπάθειες συλλογής δεδομένων, πιθανώς καθοδηγούμενη από κατασκοπευτικούς στόχους.

Το σκουλήκι LitterDrifter περιλαμβάνει δύο κύριες λειτουργίες: αυτόματη εξάπλωση του κακόβουλου λογισμικού μέσω συνδεδεμένων μονάδων USB και επικοινωνία με τους διακομιστές εντολών και ελέγχου (C&C) του παράγοντα απειλής. Υποπτεύεται ότι πρόκειται για μια εξέλιξη ενός τύπου τύπου worm USB που βασίζεται σε PowerShell που αποκαλύφθηκε από τη Symantec τον Ιούνιο του 2023.

Αναλυτικά το LitterDrifter

Αναπτύχθηκε σε VBS, η μονάδα διασποράς είναι υπεύθυνη για τη διάδοση του ιού τύπου worm ως κρυφού αρχείου σε μια μονάδα USB μαζί με ένα αρχείο δόλωμα LNK με τυχαία ονόματα. Το όνομα "LitterDrifter" προέρχεται από το αρχικό στοιχείο ενορχήστρωσης που ονομάζεται "trash.dll".

Η ξεχωριστή προσέγγιση του Gamaredon για την C&C περιλαμβάνει τη χρήση τομέων ως κράτησης θέσης για τις πραγματικές διευθύνσεις IP των διακομιστών C2 που κυκλοφορούν, όπως εξηγείται από το Check Point. Επιπλέον, το LitterDrifter μπορεί να συνδεθεί σε έναν διακομιστή C&C που λαμβάνεται από ένα κανάλι Telegram, μια τακτική που χρησιμοποιείται σταθερά από τον παράγοντα απειλών τουλάχιστον από την αρχή του έτους.

Η εταιρεία κυβερνοασφάλειας σημείωσε επίσης ενδείξεις πιθανών μολύνσεων πέρα από την Ουκρανία, με βάση τις υποβολές του VirusTotal από τις Ηνωμένες Πολιτείες, το Βιετνάμ, τη Χιλή, την Πολωνία, τη Γερμανία και το Χονγκ Κονγκ.

Τι είναι το κακόβουλο λογισμικό Worm;

Το worm είναι ένας τύπος κακόβουλου λογισμικού (malware) που έχει σχεδιαστεί για να αναπαράγει τον εαυτό του και να εξαπλώνεται σε άλλους υπολογιστές ή συσκευές αυτόνομα, συχνά χωρίς την ανάγκη ανθρώπινης παρέμβασης. Σε αντίθεση με τους ιούς, τα σκουλήκια δεν χρειάζεται να συνδέονται με υπάρχοντα προγράμματα ή αρχεία για να διαδοθούν. μπορούν ανεξάρτητα να ταξιδεύουν σε δίκτυα και συστήματα.

Τα βασικά χαρακτηριστικά του κακόβουλου λογισμικού τύπου worm περιλαμβάνουν:

• Αυτοδιάδοση: Τα σκουλήκια είναι προγραμματισμένα να αναπαράγονται ανεξάρτητα και να εξαπλώνονται σε συνδεδεμένες συσκευές ή δίκτυα. Μπορούν να εκμεταλλευτούν ευπάθειες σε λειτουργικά συστήματα ή εφαρμογές για να μολύνουν άλλους υπολογιστές.
• Αυτονομία: Τα σκουλήκια λειτουργούν χωρίς άμεση ανθρώπινη συμμετοχή. Μόλις ένα σύστημα μολυνθεί, ο ιός τύπου worm μπορεί ενεργά να αναζητήσει και να μολύνει άλλα ευάλωτα συστήματα χωρίς να απαιτείται ενέργεια από τον χρήστη.
• Εξάπλωση βάσει δικτύου: Τα σκουλήκια συχνά εξαπλώνονται μέσω συνδέσεων δικτύου, όπως το Διαδίκτυο, τα τοπικά δίκτυα (LAN) ή τα αφαιρούμενα μέσα όπως μονάδες USB. Μπορούν να εκμεταλλευτούν τις αδυναμίες στα πρωτόκολλα δικτύου για να μετακινηθούν από το ένα σύστημα στο άλλο.
• Ωφέλιμο φορτίο: Εκτός από την αναπαραγωγή, τα σκουλήκια μπορεί να φέρουν ένα ωφέλιμο φορτίο, το οποίο είναι η πραγματική κακόβουλη δραστηριότητα που έχουν σχεδιαστεί να εκτελούν. Αυτό θα μπορούσε να περιλαμβάνει την καταστροφή ή τη διαγραφή αρχείων, την κλοπή πληροφοριών ή τη διευκόλυνση άλλων μορφών επιθέσεων στον κυβερνοχώρο.
• Εμμονή: Ορισμένα σκουλήκια έχουν σχεδιαστεί για να παραμένουν ενεργά σε μολυσμένα συστήματα για μεγάλο χρονικό διάστημα, επιτρέποντάς τους να συνεχίσουν τις κακόβουλες δραστηριότητές τους ή να λαμβάνουν ενημερωμένες οδηγίες από έναν απομακρυσμένο διακομιστή εντολών και ελέγχου.