LitterDrifterはロシアのサイバー犯罪グループと関係がある

連邦保安局 (FSB) と関係のあるロシアのサイバースパイ活動家が、ウクライナの組織を対象とした攻撃に LitterDrifter という名前の USB 伝播ワームを使用していることが観察されています。 Check Point は、Gamaredon (Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm、Winterflounder とも呼ばれる) として知られるグループの最近の戦術を概説し、彼らが大規模なキャンペーンを実施し、それに続いてターゲットを絞ったデータ収集活動を行っていることを特徴付けており、これはおそらく次のような活動によって推進されています。スパイ活動の目的。

LitterDrifter ワームには、接続された USB ドライブを介したマルウェアの自動拡散と、脅威アクターのコマンド アンド コントロール (C&C) サーバーとの通信という 2 つの主要な機能が含まれています。これは、シマンテック社が 2023 年 6 月に公開した PowerShell ベースの USB ワームの発展形である疑いがあります。

リッタードリフターの詳細

VBS で開発されたスプレッダー モジュールは、ランダムな名前が付いたおとりの LNK ファイルとともに、USB ドライブ内の隠蔽ファイルとしてワームを拡散する役割を果たします。 「LitterDrifter」という名前は、「trash.dll」という名前の初期オーケストレーション コンポーネントに由来しています。

C&C に対する Gamaredon の独特のアプローチには、Check Point が説明したように、循環する C2 サーバーの実際の IP アドレスのプレースホルダーとしてドメインを使用することが含まれます。さらに、LitterDrifter は Telegram チャネルから取得した C&C サーバーに接続することができます。これは、少なくとも今年の初め以来、脅威アクターが一貫して採用している戦術です。

サイバーセキュリティ会社はまた、米国、ベトナム、チリ、ポーランド、ドイツ、香港からの VirusTotal の提出に基づいて、ウクライナを越えた感染の可能性の兆候にも言及しました。

ワームマルウェアとは何ですか?

ワームは、悪意のあるソフトウェア (マルウェア) の一種で、多くの場合人間の介入を必要とせずに、自らを複製して自律的に他のコンピュータやデバイスに拡散するように設計されています。ウイルスとは異なり、ワームは拡散するために既存のプログラムやファイルに添付する必要はありません。ネットワークやシステム全体を独立して移動できます。

ワーム マルウェアの主な特徴は次のとおりです。

• 自己伝播: ワームは、接続されたデバイスまたはネットワーク全体に独立して複製して拡散するようにプログラムされています。オペレーティング システムやアプリケーションの脆弱性を悪用して、他のコンピュータに感染する可能性があります。
• 自律性: ワームは人間の直接の関与なしで動作します。システムが感染すると、ワームはユーザーの操作を必要とせずに、他の脆弱なシステムを積極的に探し出して感染する可能性があります。
• ネットワーク ベースの拡散: ワームは多くの場合、インターネット、ローカル エリア ネットワーク (LAN)、USB ドライブなどのリムーバブル メディアなどのネットワーク接続を介して拡散します。ネットワーク プロトコルの弱点を悪用して、あるシステムから別のシステムに移動する可能性があります。
• ペイロード: ワームは、複製するだけでなく、実行するように設計された実際の悪意のあるアクティビティであるペイロードを運ぶ場合があります。これには、ファイルの損傷や削除、情報の窃取、または他の形態のサイバー攻撃の促進が含まれる可能性があります。
• 永続性: 一部のワームは、感染したシステム上で長期間活動し続けるように設計されており、悪意のある活動を継続したり、リモート コマンド アンド コントロール サーバーから更新された指示を受け取ったりすることができます。