LitterDrifter è collegato al gruppo russo criminale informatico

Sono stati osservati attori russi di spionaggio informatico collegati al Servizio di sicurezza federale (FSB) utilizzare un worm di propagazione USB denominato LitterDrifter in attacchi diretti contro entità ucraine. Check Point, che delineava le recenti tattiche del gruppo noto come Gamaredon (noto anche come Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm e Winterflounder), li caratterizzava come conducenti di campagne estese seguite da sforzi mirati di raccolta dati, probabilmente guidati da obiettivi di spionaggio.

Il worm LitterDrifter comprende due funzionalità principali: diffusione automatica del malware tramite unità USB collegate e comunicazione con i server di comando e controllo (C&C) dell'autore della minaccia. Si sospetta che si tratti di un avanzamento di un worm USB basato su PowerShell rivelato da Symantec nel giugno 2023.

LitterDrifter in dettaglio

Il modulo di diffusione sviluppato in VBS è responsabile della diffusione del worm sotto forma di file nascosto in un'unità USB insieme a un file LNK esca con nomi casuali. Il nome "LitterDrifter" deriva dal componente di orchestrazione iniziale denominato "trash.dll".

L'approccio distintivo di Gamaredon al C&C prevede l'utilizzo dei domini come segnaposto per gli effettivi indirizzi IP dei server C2 circolanti, come spiegato da Check Point. Inoltre, LitterDrifter può connettersi a un server C&C ottenuto da un canale Telegram, una tattica costantemente utilizzata dall'autore della minaccia almeno dall'inizio dell'anno.

La società di sicurezza informatica ha anche rilevato indicazioni di potenziali infezioni al di fuori dell’Ucraina, sulla base delle comunicazioni di VirusTotal provenienti da Stati Uniti, Vietnam, Cile, Polonia, Germania e Hong Kong.

Cos'è il malware worm?

Un worm è un tipo di software dannoso (malware) progettato per replicarsi e diffondersi su altri computer o dispositivi in modo autonomo, spesso senza la necessità dell'intervento umano. A differenza dei virus, i worm non hanno bisogno di attaccarsi a programmi o file esistenti per diffondersi; possono viaggiare in modo indipendente attraverso reti e sistemi.

Le caratteristiche principali del malware worm includono:

• Autopropagazione: i worm sono programmati per replicarsi e diffondersi in modo indipendente su dispositivi o reti connessi. Possono sfruttare le vulnerabilità dei sistemi operativi o delle applicazioni per infettare altri computer.
• Autonomia: i vermi operano senza il diretto coinvolgimento umano. Una volta infettato un sistema, il worm può cercare attivamente e infettare altri sistemi vulnerabili senza richiedere l'intervento dell'utente.
• Diffusione basata sulla rete: i worm spesso si diffondono attraverso connessioni di rete, come Internet, reti locali (LAN) o supporti rimovibili come le unità USB. Possono sfruttare i punti deboli dei protocolli di rete per spostarsi da un sistema all'altro.
• Carico utile: oltre a replicarsi, i worm possono trasportare un carico utile, ovvero l'effettiva attività dannosa per cui sono progettati. Ciò potrebbe includere il danneggiamento o l'eliminazione di file, il furto di informazioni o la facilitazione di altre forme di attacchi informatici.
• Persistenza: alcuni worm sono progettati per rimanere attivi sui sistemi infetti per un periodo prolungato, consentendo loro di continuare le proprie attività dannose o ricevere istruzioni aggiornate da un server di comando e controllo remoto.