„LitterDrifter“ yra susijęs su Rusijos kibernetinių nusikaltimų grupe

Pastebėta, kad Rusijos kibernetinio šnipinėjimo veikėjai, siejami su Federaline saugumo tarnyba (FSB), naudojo USB dauginantį kirminą LitterDrifter atakose, nukreiptose prieš Ukrainos subjektus. „Check Point“, kuriame apibūdinta naujausia „Gamaredon“ (taip pat vadinama „Aqua Blizzard“, „Iron Tilden“, „Primitive Bear“, „Shuckworm“ ir „Winterflounder“) taktika, apibūdino juos kaip vykdančias plačias kampanijas, po kurių buvo imtasi tikslinių duomenų rinkimo pastangų, kurias greičiausiai paskatino šnipinėjimo tikslai.

„LitterDrifter“ kirminas apima dvi pagrindines funkcijas: automatinį kenkėjiškų programų platinimą per prijungtus USB įrenginius ir ryšį su grėsmės veikėjo komandų ir valdymo (C&C) serveriais. Įtariama, kad tai yra PowerShell pagrindu veikiančio USB kirmino pažanga, kurią Symantec paskelbė 2023 m. birželį.

LitterDrifter išsamiai

Sukurtas VBS, platinimo modulis yra atsakingas už slieko platinimą kaip paslėptą failą USB atmintinėje kartu su apgaulės LNK failu atsitiktiniais pavadinimais. Pavadinimas „LitterDrifter“ yra kilęs iš pradinio orkestravimo komponento, pavadinto „trash.dll“.

Išskirtinis „Gamaredon“ požiūris į C&C apima domenų naudojimą kaip tikruosius cirkuliuojančių C2 serverių IP adresus, kaip paaiškino „Check Point“. Be to, „LitterDrifter“ gali prisijungti prie C&C serverio, gauto iš „Telegram“ kanalo. Šią taktiką grėsmės veikėjas nuolat taiko bent jau nuo metų pradžios.

Remdamasi JAV, Vietnamo, Čilės, Lenkijos, Vokietijos ir Honkongo „VirusTotal“ duomenimis, kibernetinio saugumo įmonė taip pat atkreipė dėmesį į galimų infekcijų požymius už Ukrainos ribų.

Kas yra kirminų kenkėjiška programa?

Kirminas yra kenkėjiškos programinės įrangos tipas (kenkėjiška programa), kuri sukurta taip, kad galėtų daugintis ir plisti į kitus kompiuterius ar įrenginius savarankiškai, dažnai be žmogaus įsikišimo. Skirtingai nuo virusų, kirminams nereikia prisirišti prie esamų programų ar failų, kad galėtų plisti; jie gali savarankiškai keliauti per tinklus ir sistemas.

Pagrindinės kirminų kenkėjiškų programų savybės:

• Savarankiškas plitimas: kirminai yra užprogramuoti taip, kad galėtų savarankiškai daugintis ir plisti prijungtuose įrenginiuose ar tinkluose. Jie gali išnaudoti operacinių sistemų ar programų pažeidžiamumą, kad užkrėstų kitus kompiuterius.
• Savarankiškumas: kirminai veikia be tiesioginio žmogaus dalyvavimo. Kai sistema yra užkrėsta, kirminas gali aktyviai ieškoti ir užkrėsti kitas pažeidžiamas sistemas, nereikalaujant vartotojo veiksmų.
• Tinklo plitimas: kirminai dažnai plinta per tinklo ryšius, pvz., internetą, vietinius tinklus (LAN) arba išimamą laikmeną, pvz., USB diskus. Jie gali pasinaudoti tinklo protokolų trūkumais pereiti iš vienos sistemos į kitą.
• Naudinga apkrova: kirminai gali ne tik daugintis, bet ir nešti naudingą apkrovą, kuri yra tikroji kenkėjiška veikla, kuriai jie skirti. Tai gali apimti failų sugadinimą ar ištrynimą, informacijos vagystę arba kitų kibernetinių atakų formų palengvinimą.
• Patvarumas: kai kurie kirminai yra sukurti taip, kad išliktų aktyvūs užkrėstose sistemose ilgą laiką, todėl jie gali tęsti savo kenkėjišką veiklą arba gauti atnaujintas instrukcijas iš nuotolinio komandų ir valdymo serverio.