LitterDrifter связан с российской киберпреступной группой

Российские субъекты кибершпионажа, связанные с Федеральной службой безопасности (ФСБ), были замечены в использовании USB-червя под названием LitterDrifter в атаках, направленных на украинские организации. Check Point, в котором обрисована недавняя тактика группы, известной как Гамаредон (также называемая Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm и Winterflounder), охарактеризовала их как проведение обширных кампаний, за которыми следуют целенаправленные усилия по сбору данных, вероятно, вызванные шпионские цели.

Червь LitterDrifter выполняет две основные функции: автоматическое распространение вредоносного ПО через подключенные USB-накопители и связь с серверами управления и контроля (C&C) злоумышленника. Предполагается, что это развитие USB-червя на базе PowerShell, раскрытого Symantec в июне 2023 года.

LitterDrifter в деталях

Модуль распространения, разработанный на VBS, отвечает за распространение червя в виде скрытого файла на USB-накопителе вместе с ложным файлом LNK со случайными именами. Имя «LitterDrifter» происходит от исходного компонента оркестрации с именем «trash.dll».

Особый подход Gamaredon к C&C предполагает использование доменов в качестве заполнителей для фактических IP-адресов циркулирующих серверов C2, как поясняет Check Point. Кроме того, LitterDrifter может подключаться к командному серверу, полученному из канала Telegram — тактика, которую злоумышленник постоянно применяет, по крайней мере, с начала года.

Компания по кибербезопасности также отметила признаки потенциальных заражений за пределами Украины, основываясь на материалах VirusTotal из США, Вьетнама, Чили, Польши, Германии и Гонконга.

Что такое вредоносное ПО-червь?

Червь — это тип вредоносного программного обеспечения (вредоносной программы), который предназначен для самовоспроизведения и распространения на другие компьютеры или устройства автономно, часто без необходимости вмешательства человека. В отличие от вирусов, червям для распространения не требуется прикрепляться к существующим программам или файлам; они могут самостоятельно путешествовать по сетям и системам.

Ключевые характеристики вредоносных программ-червей включают в себя:

• Самораспространение: черви запрограммированы на независимое размножение и распространение по подключенным устройствам или сетям. Они могут использовать уязвимости в операционных системах или приложениях для заражения других компьютеров.
• Автономность: черви действуют без прямого участия человека. После заражения системы червь может активно искать и заражать другие уязвимые системы, не требуя действий пользователя.
• Распространение через сеть. Черви часто распространяются через сетевые подключения, такие как Интернет, локальные сети (LAN) или съемные носители, такие как USB-накопители. Они могут использовать слабости сетевых протоколов для перехода из одной системы в другую.
• Полезная нагрузка. Помимо репликации, черви могут нести полезную нагрузку, которая представляет собой фактическую вредоносную деятельность, для выполнения которой они предназначены. Это может включать в себя повреждение или удаление файлов, кражу информации или содействие другим формам кибератак.
• Устойчивость. Некоторые черви созданы для того, чтобы оставаться активными в зараженных системах в течение длительного периода времени, что позволяет им продолжать свою вредоносную деятельность или получать обновленные инструкции от удаленного сервера управления.