Federal Güvenlik Servisi’ne (FSB) bağlı Rus siber casusluk aktörlerinin, USB yayılan bir solucan kullandığı gözlemlendi. Çöp Drifter Ukrayna varlıklarını hedef alan saldırılarda.
Kontrol Noktası, detaylı Gamaredon’un (diğer adıyla Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm ve Winterflounder) en son taktikleri, grubun büyük ölçekli kampanyalara giriştiğini ve bunu “belirli hedeflere yönelik veri toplama çabalarının takip ettiği ve bunların seçiminin muhtemelen casusluk motivasyonuyla yapıldığı” olarak damgaladı. hedefler.”
LitterDrifter solucanı iki ana özelliğe sahiptir: kötü amaçlı yazılımı bağlı USB sürücüler aracılığıyla otomatik olarak yaymanın yanı sıra tehdit aktörünün komuta ve kontrol (C&C) sunucularıyla iletişim kurma. Ayrıca bunun, daha önce Haziran 2023’te Symantec tarafından açıklanan PowerShell tabanlı bir USB solucanının evrimi olduğundan da şüpheleniliyor.
VBS’de yazılan yayıcı modül, solucanı, rastgele adlar atanan bir tuzak LNK ile birlikte bir USB sürücüde gizli bir dosya olarak dağıtmaktan sorumludur. Kötü amaçlı yazılım, ilk düzenleme bileşeninin “trash.dll” olarak adlandırılması nedeniyle LitterDrifter adını alıyor.
Check Point, “Gamaredon’un C&C’ye yönelik yaklaşımı oldukça benzersizdir, çünkü alanları aslında C2 sunucuları olarak kullanılan dolaşımdaki IP adresleri için yer tutucu olarak kullanır,” diye açıkladı.
LitterDrifter aynı zamanda bir Telegram kanalından alınan bir C&C sunucusuna da bağlanabiliyor; bu, en azından yılın başından bu yana defalarca uygulamaya konulan bir taktik.
Siber güvenlik firması ayrıca ABD, Vietnam, Şili, Polonya, Almanya ve Hong Kong’dan gelen VirusTotal gönderimlerine dayanarak Ukrayna dışında da olası enfeksiyon belirtileri tespit ettiğini söyledi.
Gamaredon, saldırı yöntemlerini sürekli olarak geliştirirken bu yıl da aktif bir varlık gösterdi. Temmuz 2023’te, saldırganın hızlı veri sızdırma yetenekleri gün yüzüne çıktı; tehdit aktörü, hassas bilgileri ilk güvenlik ihlalinden sonraki bir saat içinde aktardı.
Şirket, “LitterDrifter’ın büyük ölçekli bir toplama operasyonunu desteklemek için tasarlandığı açık” dedi. “Bölgedeki mümkün olan en geniş hedeflere ulaşabilmek için basit ama etkili tekniklerden yararlanıyor.”
Gelişme Ukrayna’nın Ulusal Siber Güvenlik Koordinasyon Merkezi (NCSCC) olarak geliyor açıklığa kavuşmuş Rus devleti destekli bilgisayar korsanları tarafından İtalya, Yunanistan, Romanya ve Azerbaycan da dahil olmak üzere Avrupa çapındaki büyükelçiliklere yönelik saldırılar düzenlendi.
APT29’a (diğer adıyla BlueBravo, Cloaked Ursa, Cosy Bear, Iron Baldıran, Midnight Blizzard ve The Dukes) atfedilen izinsiz girişler, yakın zamanda açıklanan WinRAR güvenlik açığının (CVE-2023-38831) zararsız görünümlü yemler aracılığıyla istismar edilmesini içeriyor. Geçmişte uyguladığı bir tema olan BMW’leri satışa sunmak.
Saldırı zinciri, kurbanlara, başlatıldığında Ngrok’ta barındırılan uzak bir sunucudan bir PowerShell betiğini almak için kusurdan yararlanan özel hazırlanmış bir ZIP dosyasına bağlantı içeren kimlik avı e-postaları göndermekle başlıyor.
NCSCC, “Rus istihbarat servislerinin bilgisayar korsanlığı grupları tarafından CVE-2023-38831 güvenlik açığından yararlanma yönündeki endişe verici eğilim, bu güvenlik açığının artan popülerliğini ve karmaşıklığını gösteriyor.” dedi.
Bu haftanın başında Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) ortaya çıkarıldı Ukrayna Güvenlik Servisi’nden (SBU) alınmış bir PDF belgesi gibi görünen kötü amaçlı RAR arşivlerini yayan, ancak gerçekte Remcos RAT’ın dağıtımına yol açan yürütülebilir bir dosya olan bir kimlik avı kampanyası.
CERT-UA, Şubat 2023’te Remcos RAT teslim etmek üzere ülkedeki devlet yetkililerine yönelik bir başka siber saldırı dalgasıyla da bağlantılı olan UAC-0050 adı altındaki faaliyeti izliyor.
