LitterDrifter powiązany z rosyjską grupą ds. cyberprzestępczości

Zaobserwowano, że rosyjscy cyberprzestępcy powiązani z Federalną Służbą Bezpieczeństwa (FSB) wykorzystują robaka rozprzestrzeniającego się w USB o nazwie LitterDrifter w atakach skierowanych na podmioty ukraińskie. Check Point, który nakreślił najnowszą taktykę grupy znanej jako Gamaredon (nazywanej również Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm i Winterflounder), scharakteryzował ją jako prowadzącą szeroko zakrojone kampanie, po których następują ukierunkowane wysiłki w zakresie gromadzenia danych, prawdopodobnie napędzane cele szpiegowskie.

Robak LitterDrifter obejmuje dwie podstawowe funkcje: automatyczne rozprzestrzenianie szkodliwego oprogramowania za pośrednictwem podłączonych dysków USB oraz komunikację z serwerami dowodzenia i kontroli (C&C) ugrupowania zagrażającego. Podejrzewa się, że jest to rozwinięcie robaka USB opartego na programie PowerShell, ujawnionego przez firmę Symantec w czerwcu 2023 r.

LitterDrifter w szczegółach

Opracowany w VBS moduł rozprzestrzeniający jest odpowiedzialny za rozpowszechnianie robaka w postaci ukrytego pliku na dysku USB wraz z wabikowym plikiem LNK o losowych nazwach. Nazwa „LitterDrifter” pochodzi od początkowego komponentu orkiestracji o nazwie „trash.dll”.

Jak wyjaśnił Check Point, charakterystyczne podejście Gamaredona do C&C polega na używaniu domen jako obiektów zastępczych dla rzeczywistych adresów IP krążących serwerów C2. Ponadto LitterDrifter może połączyć się z serwerem C&C uzyskanym z kanału Telegramu, co jest taktyką konsekwentnie stosowaną przez ugrupowanie zagrażające co najmniej od początku roku.

Firma zajmująca się cyberbezpieczeństwem odnotowała również oznaki potencjalnych infekcji poza Ukrainą na podstawie zgłoszeń VirusTotal ze Stanów Zjednoczonych, Wietnamu, Chile, Polski, Niemiec i Hongkongu.

Co to jest złośliwe oprogramowanie-robak?

Robak to rodzaj złośliwego oprogramowania (malware), którego zadaniem jest replikacja i rozprzestrzenianie się na inne komputery lub urządzenia w sposób autonomiczny, często bez konieczności interwencji człowieka. W przeciwieństwie do wirusów robaki nie muszą przyłączać się do istniejących programów ani plików, aby się rozprzestrzeniać; mogą niezależnie przemieszczać się pomiędzy sieciami i systemami.

Kluczowe cechy złośliwego oprogramowania robaka obejmują:

• Samorozprzestrzenianie się: robaki są zaprogramowane tak, aby niezależnie replikowały się i rozprzestrzeniały na podłączonych urządzeniach lub sieciach. Mogą wykorzystywać luki w systemach operacyjnych lub aplikacjach w celu infekowania innych komputerów.
• Autonomia: robaki działają bez bezpośredniego udziału człowieka. Po zainfekowaniu systemu robak może aktywnie wyszukiwać i infekować inne podatne systemy bez konieczności podejmowania działań przez użytkownika.
• Rozprzestrzenianie się w sieci: robaki często rozprzestrzeniają się za pośrednictwem połączeń sieciowych, takich jak Internet, sieci lokalne (LAN) lub nośników wymiennych, takich jak dyski USB. Mogą wykorzystywać słabości protokołów sieciowych do przenoszenia się z jednego systemu do drugiego.
• Ładunek: Oprócz replikacji robaki mogą przenosić ładunek, czyli rzeczywistą złośliwą aktywność, do wykonywania której zostały zaprojektowane. Może to obejmować uszkodzenie lub usunięcie plików, kradzież informacji lub ułatwianie innych form cyberataków.
• Trwałość: niektóre robaki są zaprojektowane tak, aby pozostawały aktywne w zainfekowanych systemach przez dłuższy czas, umożliwiając im kontynuowanie szkodliwych działań lub otrzymywanie zaktualizowanych instrukcji ze zdalnego serwera dowodzenia i kontroli.