LitterDrifter-Wurm
Es wurde festgestellt, dass mit dem russischen Föderalen Sicherheitsdienst (FSB) verbundene Cyberspionage-Agenten bei Angriffen auf ukrainische Unternehmen einen USB-verbreitenden Wurm namens LitterDrifter einsetzen.
Das Wesen, das diese Offensive orchestriert, wird als Gamaredon identifiziert, auch bekannt unter Pseudonymen wie Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm und Winterflounder. Die jüngsten Strategien dieser Hacker zeichnen sich dadurch aus, dass die Gruppe umfangreiche Kampagnen durchführt, gefolgt von sorgfältigen Datenerfassungsbemühungen, die auf bestimmte Ziele abzielen. Es wird vermutet, dass die Auswahl dieser Ziele durch Spionageziele bestimmt wird.
Inhaltsverzeichnis
LitterDrifter hat sich über seine ursprünglichen Ziele hinaus verbreitet
Der LitterDrifter-Wurm verfügt über zwei Hauptfunktionen: Er verbreitet die Malware automatisch über angeschlossene USB-Laufwerke und stellt eine Kommunikation mit den Command-and-Control-Servern (C2, C&C) des Bedrohungsakteurs her. Es besteht der Verdacht, dass es sich um eine Weiterentwicklung eines zuvor veröffentlichten PowerShell-basierten USB-Wurms handelt, den Forscher im Juni 2023 enthüllten.
Das in VBS erstellte Spreader-Modul übernimmt die Verantwortung für die diskrete Verteilung des Wurms innerhalb eines USB-Laufwerks, begleitet von einem Lockvogel-LNK mit zufällig zugewiesenen Namen. Der folgende führte fort. Der folgende führte fort.
Gamaredon verfolgt beim C&C einen besonderen Ansatz und verwendet Domänen als Platzhalter für die tatsächlichen IP-Adressen, die als C2-Server verwendet werden.
Darüber hinaus verfügt LitterDrifter über die Fähigkeit, eine Verbindung zu einem C&C-Server herzustellen, der aus einem Telegram-Kanal extrahiert wurde, eine Taktik, die der Bedrohungsakteur seit Anfang 2023 konsequent anwendet. Cybersicherheitsexperten haben potenzielle Anzeichen einer Infektion außerhalb der Ukraine identifiziert, wobei Entdeckungen auf Aktivitäten in den USA und Vietnam hinweisen , Chile, Polen, Deutschland und Hongkong.
Gamaredon entwickelt seine Angriffstechniken weiter
zurückgesetztder Strom zurückgesetzthat zurückgesetztanaktiv wurde zurückgesetzthat zurückgesendet Im Juli 2023 wurde die Fähigkeit des Angreifers zur schnellen Datenexfiltration deutlich, da es dem Bedrohungsakteur gelang, sensible Informationen innerhalb von nur einer Stunde nach der ersten Kompromittierung zu übermitteln.
Es handelt sich um eine Fortsetzung, die fortgeführt wurde. zurückwiederkehrte zurücksendeneffizient zurücksetzen
Bedrohungsakteure zeigen seit Beginn des Russland-Ukraine-Krieges zunehmende Aktivität
Die sich abzeichnenden Ereignisse fallen mit der Aufdeckung von Vorfällen durch staatlich geförderte russische Hacker zusammen, die durch das Nationale Zentrum für Cybersicherheit der Ukraine (NCSCC) Angriffe auf Botschaften in ganz Europa, darunter Italien, Griechenland, Rumänien und Aserbaidschan, inszeniert haben.
Diese Eindringlinge, die APT29 (auch bekannt als Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard und mehr) zugeschrieben werden, nutzen die kürzlich aufgedeckte WinRAR-Schwachstelle (CVE-2023-38831) durch trügerische Köder aus, beispielsweise durch Behauptungen, dass BMWs zum Verkauf stehen Thema, das zuvor vom Bedrohungsakteur verwendet wurde.
Die Angriffssequenz beginnt mit der Verteilung von Phishing-E-Mails an die Opfer, die einen Link zu einer speziell gestalteten ZIP-Datei enthalten. Beim Start wird der Fehler ausgenutzt, um ein PowerShell-Skript von einem Remote-Server abzurufen, der auf Ngrok gehostet wird. Die wiederholte Ausnutzung der Sicherheitslücke CVE-2023-38831 durch Hackergruppen russischer Geheimdienste unterstreicht deren zunehmende Beliebtheit und Raffinesse.
Darüber hinaus hat CERT-UA (das Computer Emergency Response Team der Ukraine) Informationen über eine Phishing-Kampagne zur Verbreitung unsicherer RAR-Archive veröffentlicht. Diese Archive sollen ein PDF-Dokument des Sicherheitsdienstes der Ukraine (SBU) enthalten. In Wirklichkeit beherbergen sie jedoch eine ausführbare Datei, die zum Einsatz des Remcos RAT führt.
