LitterDrifter USB 蠕虫被俄罗斯黑客利用攻击，受感染的国家大概有6个

隶属于联邦安全局 (FSB) 的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为LitterDrifter的 USB 蠕虫。

以色列安全公司Check Point详细介绍了Gamaredon（又名 Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm 和 Winterflounder）的最新战术，称该组织从事大规模活动，随后针对特定目标进行数据收集工作，其选择很可能是出于间谍目的。

LitterDrifter蠕虫包含两个主要功能：通过连接的USB驱动器自动传播恶意软件，以及与威胁者的命令和控制（C&C）服务器通信。它也被怀疑是一个基于PowerShell的USB蠕虫的演变，此前由赛门铁克在2023年6月披露。

用VBS编写的传播器模块负责将蠕虫以隐藏文件的形式分发到USB驱动器中，同时分发的还有一个分配了随机名称的诱饵LNK。该恶意软件之所以命名为LitterDrifter，是因为最初的业务流程组件被命名为“trash.dll”。

Gamaredon对C&C的方法是非常独特的，因为它使用域作为实际用作C2服务器的循环IP地址的占位符，”Check Point解释道。

LitterDrifter还能够连接到从Telegram通道提取的C&C服务器，这是威胁者至少从今年年初以来反复使用的一种策略。这家网络安全公司表示，他们还根据美国、越南、智利、波兰、德国和香港提交的VirusTotal报告，在乌克兰以外地区发现了可能感染病毒的迹象。

Gamaredon在今年表现活跃，同时不断发展其攻击方法。在2023年7月，对手的快速数据泄露能力被曝光，因为威胁行为者在最初妥协的一个小时内传输敏感信息。

“很明显，LitterDrifter是为支持大规模收集操作而设计的，”该公司总结道。“它利用简单而有效的技术，确保它能够达到该地区尽可能广泛的目标。”

乌克兰国家网络安全协调中心（NCSCC）透露，俄罗斯政府资助的黑客组织了针对欧洲各国大使馆的攻击，包括意大利、希腊、罗马尼亚和阿塞拜疆。

这部分的入侵归因于APT29（又名aka BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard, and The Dukes），涉及最近披露的WinRAR漏洞（CVE-2023-38831）通过良性前瞻性的诱惑，攻击链首先向受害者发送钓鱼电子邮件，其中包含指向特制ZIP文件的链接，该文件在启动时利用该漏洞从Ngrok托管的远程服务器检索PowerShell脚本。

“俄罗斯情报部门黑客组织利用CVE-2023-38831漏洞的趋势令人担忧，这表明它越来越受欢迎和复杂，”NCSCC表示。

在面对网络攻击，尤其是来自国家网络间谍活动的攻击时，保护网络和系统的安全变得尤为重要。以下是一些建议，用于防御和对抗这样的攻击：