LitterDrifter kopplad till Russian Cybercrime Group

Ryska cyberspionageaktörer kopplade till Federal Security Service (FSB) har observerats använda en USB-spridande mask vid namn LitterDrifter i attacker riktade mot ukrainska enheter. Check Point, som beskrev den senaste taktiken för gruppen känd som Gamaredon (även kallad Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm och Winterflounder), karakteriserade dem som att de genomför omfattande kampanjer följt av riktade datainsamlingsinsatser, troligen drivna av spionagemål.

LitterDrifter-masken omfattar två primära funktioner: automatisk spridning av skadlig programvara via anslutna USB-enheter och kommunikation med hot-aktörens kommando-och-kontrollservrar (C&C). Det misstänks vara ett framsteg av en PowerShell-baserad USB-mask som avslöjades av Symantec i juni 2023.

LitterDrifter i detalj

Utvecklad i VBS, spridningsmodulen ansvarar för att sprida masken som en dold fil i en USB-enhet tillsammans med en lockbete LNK-fil med slumpmässiga namn. Namnet "LitterDrifter" kommer från den ursprungliga orkestreringskomponenten som heter "trash.dll."

Gamaredons särskiljande inställning till C&C innebär att domäner används som platshållare för de faktiska IP-adresserna för de cirkulerande C2-servrarna, vilket förklaras av Check Point. Dessutom kan LitterDrifter ansluta till en C&C-server som erhålls från en Telegram-kanal, en taktik som konsekvent använts av hotaktören sedan åtminstone i början av året.

Cybersäkerhetsföretaget noterade också indikationer på potentiella infektioner utanför Ukraina, baserat på VirusTotal-inlämningar från USA, Vietnam, Chile, Polen, Tyskland och Hongkong.

Vad är Worm Malware?

En mask är en typ av skadlig programvara (skadlig programvara) som är utformad för att replikera sig själv och spridas till andra datorer eller enheter autonomt, ofta utan behov av mänskligt ingripande. Till skillnad från virus behöver maskar inte fästa sig vid befintliga program eller filer för att spridas; de kan självständigt resa över nätverk och system.

Viktiga egenskaper hos skadlig mask inkluderar:

• Självförökning: Maskar är programmerade att självständigt replikera och spridas över anslutna enheter eller nätverk. De kan utnyttja sårbarheter i operativsystem eller applikationer för att infektera andra datorer.
• Autonomi: Maskar fungerar utan direkt mänsklig inblandning. När ett system väl är infekterat kan masken aktivt söka upp och infektera andra sårbara system utan att användaren behöver göra något.
• Nätverksbaserad spridning: Maskar sprids ofta via nätverksanslutningar, som internet, lokala nätverk (LAN) eller flyttbara media som USB-enheter. De kan utnyttja svagheter i nätverksprotokoll för att flytta från ett system till ett annat.
• Nyttolast: Förutom att replikera kan maskar bära en nyttolast, vilket är den faktiska skadliga aktivitet de är designade för att utföra. Detta kan inkludera att skada eller radera filer, stjäla information eller underlätta andra former av cyberattacker.
• Persistens: Vissa maskar är utformade för att förbli aktiva på infekterade system under en längre period, vilket gör att de kan fortsätta sina skadliga aktiviteter eller ta emot uppdaterade instruktioner från en fjärrstyrd kommando-och-kontrollserver.