Se ha observado que actores rusos de ciberespionaje afiliados al Servicio Federal de Seguridad (FSB) utilizan un gusano que se propaga por USB llamado vagabundo en ataques contra entidades ucranianas.
Punto de control, que detallado Las últimas tácticas de Gamaredon (también conocido como Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm y Winterflounder), calificaron al grupo de participar en campañas a gran escala seguidas de «esfuerzos de recopilación de datos dirigidos a objetivos específicos, cuya selección probablemente esté motivada por el espionaje». objetivos.»
El gusano LitterDrifter incluye dos características principales: propagar automáticamente el malware a través de unidades USB conectadas y comunicarse con los servidores de comando y control (C&C) del actor de la amenaza. También se sospecha que es una evolución de un gusano USB basado en PowerShell que Symantec reveló previamente en junio de 2023.
Escrito en VBS, el módulo esparcidor es responsable de distribuir el gusano como un archivo oculto en una unidad USB junto con un LNK señuelo al que se le asignan nombres aleatorios. El malware recibe su nombre LitterDrifter debido al hecho de que el componente de orquestación inicial se llama «trash.dll».
«El enfoque de Gamaredon hacia C&C es bastante único, ya que utiliza dominios como marcador de posición para las direcciones IP circulantes que realmente se utilizan como servidores C2», explicó Check Point.
LitterDrifter también es capaz de conectarse a un servidor C&C extraído de un canal de Telegram, una táctica que ha utilizado repetidamente desde al menos principios de año.
La firma de ciberseguridad dijo que también detectó signos de posible infección fuera de Ucrania según los envíos de VirusTotal de EE. UU., Vietnam, Chile, Polonia, Alemania y Hong Kong.
Gamaredon ha tenido una presencia activa este año, mientras evoluciona continuamente sus métodos de ataque. En julio de 2023, las capacidades rápidas de exfiltración de datos del adversario salieron a la luz, y el actor de la amenaza transmitió información confidencial una hora después del compromiso inicial.
«Está claro que LitterDrifter fue diseñado para respaldar una operación de recolección a gran escala», concluyó la empresa. «Aprovecha técnicas simples pero efectivas para garantizar que pueda alcanzar el conjunto más amplio posible de objetivos en la región».
El desarrollo se produce cuando el Centro Nacional de Coordinación de Ciberseguridad de Ucrania (NCSCC) reveló ataques orquestados por piratas informáticos patrocinados por el estado ruso contra embajadas en toda Europa, incluidas Italia, Grecia, Rumania y Azerbaiyán.
Las intrusiones, atribuidas a APT29 (también conocido como BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard y The Dukes), implican la explotación de la vulnerabilidad WinRAR recientemente revelada (CVE-2023-38831) a través de señuelos de aspecto benigno que afirman ofrecer BMW a la venta, un tema que ha utilizado en el pasado.
La cadena de ataque comienza con el envío de correos electrónicos de phishing a las víctimas que contienen un enlace a un archivo ZIP especialmente diseñado que, cuando se inicia, explota la falla para recuperar un script de PowerShell desde un servidor remoto alojado en Ngrok.
«Una preocupante tendencia a explotar la vulnerabilidad CVE-2023-38831 por parte de grupos de piratería de los servicios de inteligencia rusos demuestra su creciente popularidad y sofisticación», dijo el NCSCC.
A principios de esta semana, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) desenterrado una campaña de phishing que propaga archivos RAR maliciosos que se hacen pasar por un documento PDF del Servicio de Seguridad de Ucrania (SBU) pero, en realidad, es un ejecutable que conduce al despliegue de Remcos RAT.
CERT-UA está rastreando la actividad bajo el nombre de UAC-0050, que también se vinculó con otra serie de ataques cibernéticos dirigidos a las autoridades estatales del país para entregar Remcos RAT en febrero de 2023.