A LitterDrifter az orosz kiberbűnözési csoporthoz kapcsolódik

Megfigyelték, hogy a Szövetségi Biztonsági Szolgálathoz (FSB) köthető orosz kiberkémkedési szereplők egy LitterDrifter nevű USB-terjesztő férget alkalmaztak az ukrán entitások elleni támadásokban. A Check Point, amely felvázolta a Gamaredon néven ismert csoport (más néven Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm és Winterflounder) legújabb taktikáját, úgy jellemezte őket, hogy kiterjedt kampányokat folytattak, amelyeket célzott adatgyűjtési erőfeszítések követtek, valószínűleg kémkedési célok.

A LitterDrifter féreg két elsődleges funkciót foglal magában: a rosszindulatú program automatikus terjesztését a csatlakoztatott USB-meghajtókon keresztül, valamint a kommunikációt a fenyegetés szereplőjének parancs- és vezérlőszervereivel. Feltételezhető, hogy a Symantec által 2023 júniusában nyilvánosságra hozott PowerShell-alapú USB-féreg továbbfejlesztése.

LitterDrifter részletesen

A VBS-ben kifejlesztett szórómodul felelős a féreg rejtett fájlként való terjesztéséért egy USB-meghajtón egy véletlenszerű nevű csali LNK-fájl mellett. A "LitterDrifter" név a "trash.dll" nevű kezdeti hangszerelési komponensből származik.

A Gamaredon sajátos megközelítése a C&C-hez abban áll, hogy a tartományokat helyőrzőként használja a keringő C2-szerverek tényleges IP-címeihez, ahogy azt a Check Point kifejti. Ezenkívül a LitterDrifter csatlakozhat egy Telegram csatornáról származó C&C szerverhez, amelyet a fenyegetettség szereplője következetesen alkalmaz legalább az év eleje óta.

A kiberbiztonsági vállalat az Egyesült Államokból, Vietnamból, Chiléből, Lengyelországból, Németországból és Hongkongból származó VirusTotal beadványai alapján az Ukrajnán kívüli lehetséges fertőzésekre utaló jeleket is észlelt.

Mi az a Worm Malware?

A féreg egyfajta rosszindulatú szoftver (rosszindulatú program), amelyet úgy terveztek, hogy önmagát replikálja, és autonóm módon terjedjen át más számítógépekre vagy eszközökre, gyakran emberi beavatkozás nélkül. A vírusokkal ellentétben a férgeknek nem kell meglévő programokhoz vagy fájlokhoz kapcsolódniuk a terjedéshez; önállóan utazhatnak hálózatokon és rendszereken.

A férgek rosszindulatú programjainak főbb jellemzői a következők:

• Önterjedés: A férgek úgy vannak programozva, hogy függetlenül replikáljanak és terjedjenek a csatlakoztatott eszközökön vagy hálózatokon. Az operációs rendszerek vagy alkalmazások biztonsági réseit kihasználva más számítógépeket is megfertőzhetnek.
• Autonómia: A férgek közvetlen emberi részvétel nélkül működnek. Ha egy rendszer megfertőződött, a féreg aktívan megkereshet és megfertőzhet más sebezhető rendszereket anélkül, hogy felhasználói beavatkozásra lenne szükség.
• Hálózat alapú terjedés: A férgek gyakran hálózati kapcsolatokon, például interneten, helyi hálózatokon (LAN) vagy cserélhető adathordozókon, például USB-meghajtókon keresztül terjednek. A hálózati protokollok gyengeségeit kihasználva egyik rendszerről a másikra léphetnek át.
• Hasznos teher: A replikáción kívül a férgek hasznos terhet is hordozhatnak, ami az a tényleges rosszindulatú tevékenység, amelyre tervezték őket. Ez magában foglalhatja a fájlok megrongálását vagy törlését, az információk ellopását vagy a kibertámadások egyéb formáinak elősegítését.
• Perzisztencia: Egyes férgeket úgy terveztek, hogy hosszabb ideig aktívak maradjanak a fertőzött rendszereken, lehetővé téve számukra, hogy folytassák rosszindulatú tevékenységeiket, vagy frissített utasításokat kapjanak egy távoli parancs- és vezérlőkiszolgálótól.