LitterDrifter knyttet til Russian Cybercrime Group

Russiske nettspionasjeaktører knyttet til Federal Security Service (FSB) har blitt observert bruke en USB-forplantende orm kalt LitterDrifter i angrep rettet mot ukrainske enheter. Check Point, som skisserte den nylige taktikken til gruppen kjent som Gamaredon (også referert til som Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm og Winterflounder), karakteriserte dem som å gjennomføre omfattende kampanjer etterfulgt av målrettet datainnsamlingsinnsats, sannsynligvis drevet av spionasjemål.

LitterDrifter-ormen omfatter to primære funksjoner: automatisk spredning av skadelig programvare gjennom tilkoblede USB-stasjoner og kommunikasjon med kommando-og-kontroll-servere (C&C) til trusselaktøren. Det mistenkes å være en fremgang av en PowerShell-basert USB-orm som ble avslørt av Symantec i juni 2023.

LitterDrifter i detalj

Utviklet i VBS, er spredermodulen ansvarlig for å spre ormen som en skjult fil i en USB-stasjon sammen med en lokke-LNK-fil med tilfeldige navn. Navnet "LitterDrifter" er avledet fra den opprinnelige orkestreringskomponenten kalt "trash.dll."

Gamaredons særegne tilnærming til C&C innebærer å bruke domener som plassholdere for de faktiske IP-adressene til de sirkulerende C2-serverne, som forklart av Check Point. I tillegg kan LitterDrifter koble til en C&C-server hentet fra en Telegram-kanal, en taktikk konsekvent brukt av trusselaktøren siden i hvert fall begynnelsen av året.

Nettsikkerhetsselskapet noterte også indikasjoner på potensielle infeksjoner utenfor Ukraina, basert på VirusTotal-innleveringer fra USA, Vietnam, Chile, Polen, Tyskland og Hong Kong.

Hva er Worm Malware?

En orm er en type ondsinnet programvare (skadelig programvare) som er utviklet for å replikere seg selv og spre seg til andre datamaskiner eller enheter autonomt, ofte uten behov for menneskelig innblanding. I motsetning til virus trenger ikke ormer å knytte seg til eksisterende programmer eller filer for å spre seg; de kan selvstendig reise på tvers av nettverk og systemer.

Viktige kjennetegn ved skadelig programvare for ormer inkluderer:

• Selvforplantning: Ormer er programmert til å replikere uavhengig og spre seg over tilkoblede enheter eller nettverk. De kan utnytte sårbarheter i operativsystemer eller applikasjoner for å infisere andre datamaskiner.
• Autonomi: Ormer opererer uten direkte menneskelig involvering. Når et system er infisert, kan ormen aktivt oppsøke og infisere andre sårbare systemer uten å kreve brukerhandling.
• Nettverksbasert spredning: Ormer spres ofte gjennom nettverkstilkoblinger, for eksempel internett, lokale nettverk (LAN) eller flyttbare medier som USB-stasjoner. De kan utnytte svakheter i nettverksprotokoller for å flytte fra ett system til et annet.
• Nyttelast: I tillegg til å replikere, kan ormer bære en nyttelast, som er den faktiske ondsinnede aktiviteten de er designet for å utføre. Dette kan inkludere å skade eller slette filer, stjele informasjon eller legge til rette for andre former for nettangrep.
• Utholdenhet: Noen ormer er designet for å forbli aktive på infiserte systemer over en lengre periode, slik at de kan fortsette sine ondsinnede aktiviteter eller motta oppdaterte instruksjoner fra en ekstern kommando-og-kontrollserver.