LitterDrifter gekoppeld aan de Russische Cybercrime Group

Er is waargenomen dat Russische cyberspionageactoren verbonden aan de Federale Veiligheidsdienst (FSB) een USB-propagerende worm genaamd LitterDrifter gebruiken bij aanvallen gericht op Oekraïense entiteiten. Check Point, dat de recente tactieken schetste van de groep die bekend staat als Gamaredon (ook wel Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm en Winterflounder genoemd), typeerde hen als het voeren van uitgebreide campagnes, gevolgd door gerichte inspanningen voor het verzamelen van gegevens, waarschijnlijk gedreven door spionage doelstellingen.

De LitterDrifter-worm omvat twee primaire functionaliteiten: automatische verspreiding van de malware via aangesloten USB-drives en communicatie met de command-and-control (C&C)-servers van de bedreiging. Er wordt vermoed dat het een vooruitgang is van een op PowerShell gebaseerde USB-worm die in juni 2023 door Symantec werd onthuld.

LitterDrifter in detail

De spreadermodule, ontwikkeld in VBS, is verantwoordelijk voor het verspreiden van de worm als een verborgen bestand op een USB-stick naast een LNK-bestand met willekeurige namen. De naam "LitterDrifter" is afgeleid van de initiële orkestratiecomponent met de naam "trash.dll."

Gamaredons onderscheidende benadering van de C&C omvat het gebruik van domeinen als tijdelijke aanduidingen voor de daadwerkelijke IP-adressen van de circulerende C2-servers, zoals uitgelegd door Check Point. Bovendien kan LitterDrifter verbinding maken met een C&C-server die is verkregen via een Telegram-kanaal, een tactiek die consequent wordt toegepast door de bedreigingsacteur sinds minstens het begin van het jaar.

Het cyberbeveiligingsbedrijf merkte ook aanwijzingen op van mogelijke infecties buiten Oekraïne, gebaseerd op inzendingen van VirusTotal uit de Verenigde Staten, Vietnam, Chili, Polen, Duitsland en Hong Kong.

Wat is wormmalware?

Een worm is een soort kwaadaardige software (malware) die is ontworpen om zichzelf te repliceren en zich autonoom naar andere computers of apparaten te verspreiden, vaak zonder menselijke tussenkomst. In tegenstelling tot virussen hoeven wormen zich niet aan bestaande programma's of bestanden te hechten om zich te verspreiden; ze kunnen zelfstandig door netwerken en systemen reizen.

De belangrijkste kenmerken van worm-malware zijn onder meer:

• Zelfverspreiding: Wormen zijn geprogrammeerd om zich onafhankelijk te vermenigvuldigen en te verspreiden over aangesloten apparaten of netwerken. Ze kunnen kwetsbaarheden in besturingssystemen of applicaties misbruiken om andere computers te infecteren.
• Autonomie: Wormen opereren zonder directe menselijke tussenkomst. Zodra een systeem is geïnfecteerd, kan de worm actief andere kwetsbare systemen opsporen en infecteren zonder dat de gebruiker actie hoeft te ondernemen.
• Netwerkgebaseerde verspreiding: Wormen verspreiden zich vaak via netwerkverbindingen, zoals internet, lokale netwerken (LAN's) of verwijderbare media zoals USB-drives. Ze kunnen zwakke punten in netwerkprotocollen uitbuiten om van het ene systeem naar het andere te gaan.
• Payload: naast het repliceren kunnen wormen ook een payload met zich meedragen, wat de daadwerkelijke kwaadaardige activiteit is waarvoor ze zijn ontworpen. Hierbij valt te denken aan het beschadigen of verwijderen van bestanden, het stelen van informatie of het faciliteren van andere vormen van cyberaanvallen.
• Persistentie: Sommige wormen zijn ontworpen om gedurende een langere periode actief te blijven op geïnfecteerde systemen, waardoor ze hun kwaadaardige activiteiten kunnen voortzetten of bijgewerkte instructies kunnen ontvangen van een externe command-and-control-server.