活跃多年,俄罗斯间谍组织使用USB蠕虫LitterDrifter攻击乌克兰

admin 2023年11月20日16:32:17评论38 views字数 1677阅读5分35秒阅读模式

活跃多年,俄罗斯间谍组织使用USB蠕虫LitterDrifter攻击乌克兰

摘  要

Check Point的研究人员观察到,与俄罗斯有关的Gamaredon在对乌克兰的攻击中通过USB传播了一种名为LitterDrifter的蠕虫。Gamaredon(又名Shuckworm、Actinium、Armageddon、Primitive Bear、UAC-0010和Trident Ursa)自2014年以来一直活跃,其活动集中在乌克兰,该组织是使用多级后门Pterandon/Pterodo观察到的。

Gamaredon APT集团继续对乌克兰的实体进行攻击,包括安全部门、军事和政府组织。自俄乌冲突以来,该网络间谍组织对乌克兰目标进行了多次打击。CERT-UA监测了Gamaredon的行动,并能够收集有关APT战术、技术和程序(TTP)的情报。

 

Check Point指出,Gamaredon组织通常会进行大规模的战役,然后进行情报收集活动。在最近的攻击中,该组织使用了USB传播蠕虫LitterDrifter。据悉,LitterDrifter蠕虫是用VBS编写的,它支持两个主要功能:自动USB传播和与一组广泛、灵活的C2通信。

 

CheckPoint发布的分析中写道:“这些功能的实现方式与团队的目标一致,有效地在广泛的目标范围内保持了持久的指挥控制(C2)通道。LitterDrifter似乎是之前报道的将Gamaredon群体与正在传播的USB Powershell蠕虫联系在一起的活动的演变。”

 

这两个功能是在一个保存到磁盘的编排组件中实现的,该组件名为“trash.dll”,实际上是一个VBS脚本,而不是dll。运行编排组件后,它会解码并运行其他模块,并在受感染的系统上保持持久性。


提取的两个模块:

 1. Spreader模块允许恶意软件在系统内传播,并通过优先考虑mediatype=NULL的逻辑磁盘(通常与USB可移动介质相关)的感染来潜在地针对其他环境。

 

2.C2模块与攻击者C&C服务器建立通信,并执行传入的有效载荷。该组件通过生成内置C2服务器的随机子域来检索C2服务器的IP地址。它还通过从Telegram频道检索C2服务器的IP地址来维护备份选项。


Gamaredon对C&C的方法相当独特,因为它利用域作为实际用作C2服务器的流通IP地址的占位符。在尝试联系C2服务器之前,脚本会检查%TEMP%文件夹中是否存在一个硬编码在恶意软件中的名称毫无意义的现有C2配置文件。此机制充当恶意软件的自检,验证它是否已经感染了计算机。如果存在,则当前执行可能只是由持久性机制触发的计划执行。


威胁参与者严重混淆了编排组件,它是由一系列带有字符替换混淆的字符串构建的。

 

活跃多年,俄罗斯间谍组织使用USB蠕虫LitterDrifter攻击乌克兰


Check Point的研究人员报告说,美国、越南、智利、波兰、德国和香港也有可能感染。

 

“LitterDrifter不依赖于突破性的技术,可能看起来是一个相对简单的恶意软件。然而,这种简单性符合其目标,反映了Gamaredon的整体方法。该组织在乌克兰的持续活动证明了这种方法相当有效。”

 

6月,赛门铁克的研究人员报告称,在某些情况下,该网络间谍组织在目标网络中长达三个月未被发现。

 

大多数袭击始于2023年2月之5月,目标网络中的威胁行为者仍未被发现。在一些袭击中,威胁行为者成功闯入受害者的人力资源部门,试图收集有关各组织人员的情报。

 

威胁行为者专注于窃取敏感信息,如有关乌克兰军人死亡、敌方交战和空袭、军火库库存、军事训练等的报告。赛门铁克指出,该组织多次刷新其工具集以避免被检测,研究人员发现了已知工具的新版本,并观察到该组织使用了短命的基础设施。


精彩推荐

丹麦关基设施遭受该国史上最大规模的网络攻击

2023.11.16

活跃多年,俄罗斯间谍组织使用USB蠕虫LitterDrifter攻击乌克兰

多个大型港口受创,迪拜环球港务集团遭网络攻击致港口数千个集装箱被封锁

2023.11.15

活跃多年,俄罗斯间谍组织使用USB蠕虫LitterDrifter攻击乌克兰

黑莓称:巴以冲突下,针对Windows 版本的擦除恶意软件发起猛烈攻击

2023.11.14

活跃多年,俄罗斯间谍组织使用USB蠕虫LitterDrifter攻击乌克兰

活跃多年,俄罗斯间谍组织使用USB蠕虫LitterDrifter攻击乌克兰

活跃多年,俄罗斯间谍组织使用USB蠕虫LitterDrifter攻击乌克兰


活跃多年,俄罗斯间谍组织使用USB蠕虫LitterDrifter攻击乌克兰

注:本文由E安全编译报道,转载请联系授权并注明来源。

原文始发于微信公众号(E安全):活跃多年,俄罗斯间谍组织使用USB蠕虫LitterDrifter攻击乌克兰

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月20日16:32:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   活跃多年,俄罗斯间谍组织使用USB蠕虫LitterDrifter攻击乌克兰https://cn-sec.com/archives/2221684.html

发表评论

匿名网友 填写信息