LitterDrifter 与俄罗斯网络犯罪集团有关

据观察，与联邦安全局 (FSB) 有联系的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为 LitterDrifter 的 USB 传播蠕虫。 Check Point 概述了名为 Gamaredon（也称为 Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm 和 Winterflounder）的组织最近的策略，将其描述为开展广泛的活动，然后进行有针对性的数据收集工作，这可能是由间谍目的。

LitterDrifter 蠕虫病毒包含两个主要功能：通过连接的 USB 驱动器自动传播恶意软件以及与威胁行为者的命令和控制 (C&C) 服务器进行通信。它被怀疑是赛门铁克于 2023 年 6 月披露的基于 PowerShell 的 USB 蠕虫的改进版。

LitterDrifter 详细信息

传播器模块是用 VBS 开发的，负责将蠕虫病毒作为 USB 驱动器中的隐藏文件以及具有随机名称的诱饵 LNK 文件进行传播。名称“LitterDrifter”源自名为“trash.dll”的初始编排组件。

正如 Check Point 所解释的那样，Gamaredon 的独特 C&C 方法涉及使用域名作为流通 C2 服务器的实际 IP 地址的占位符。此外，LitterDrifter 可以连接到从 Telegram 渠道获取的 C&C 服务器，这是威胁行为者至少从今年年初以来一直采用的策略。

该网络安全公司还根据美国、越南、智利、波兰、德国和香港提交的 VirusTotal 报告，注意到乌克兰以外地区存在潜在感染的迹象。

什么是蠕虫恶意软件？

蠕虫病毒是一种恶意软件，旨在自我复制并自主传播到其他计算机或设备，通常不需要人工干预。与病毒不同，蠕虫不需要将自身附加到现有程序或文件即可传播；他们可以独立地跨网络和系统旅行。

蠕虫恶意软件的主要特征包括：

• 自我传播：蠕虫被编程为在连接的设备或网络上独立复制和传播。他们可以利用操作系统或应用程序中的漏洞来感染其他计算机。
• 自主性：蠕虫无需人类直接参与即可运行。一旦系统被感染，蠕虫就可以主动寻找并感染其他易受攻击的系统，而无需用户操作。
• 基于网络的传播：蠕虫通常通过网络连接传播，例如互联网、局域网 (LAN) 或可移动介质（例如 USB 驱动器）。他们可以利用网络协议中的弱点从一个系统转移到另一个系统。
• 有效负载：除了复制之外，蠕虫还可能携带有效负载，这是它们旨在执行的实际恶意活动。这可能包括损坏或删除文件、窃取信息或促进其他形式的网络攻击。
• 持久性：某些蠕虫被设计为在受感染的系统上长时间保持活动状态，从而允许它们继续进行恶意活动或从远程命令和控制服务器接收更新的指令。