Ένα σκουλήκι που ανακαλύφθηκε πρόσφατα και το οποίο οι ερευνητές αποκαλούν LittleDrifter εξαπλώνεται σε μονάδες USB μολύνοντας συστήματα σε πολλές χώρες ως μέρος μιας εκστρατείας από την ομάδα κατασκοπείας που χρηματοδοτείται από το κράτος Gamaredon.
Οι ερευνητές κακόβουλου λογισμικού είδαν ενδείξεις συμβιβασμού στις Ηνωμένες Πολιτείες, την
Ουκρανία
, τη Γερμανία, το
Βιετνάμ
, την Πολωνία, τη Χιλή και το Χονγκ Κονγκ, γεγονός που υποδηλώνει ότι η ομάδα απειλών έχασε τον έλεγχο του LittleDrifter, το οποίο έφτασε σε μη επιδιωκόμενους στόχους.
Ενδεικτική εξάπλωση του LitterDrifter
(Σημείο ελέγχου)
Σύμφωνα με έρευνα από το Check Point, το κακόβουλο
λογισμικό
είναι γραμμένο σε VBS και σχεδιάστηκε για να διαδίδεται μέσω USB drives, ως εξέλιξη του τύπου worm USB PowerShell της Gamaredon.
Το Gamaredon, γνωστό και ως Shuckworm, Iron Tilden και Primitive Bear, είναι μια ομάδα απειλών κατασκοπείας στον
κυβερνοχώρο
που σχετίζεται με τη Ρωσική και για τουλάχιστον μια δεκαετία έχει στοχεύσει οργανισμούς στην Ουκρανία από πολλούς τομείς, όπως η κυβέρνηση, η άμυνα και οι υποδομές ζωτικής σημασίας.
Λεπτομέρειες LitterDrifter
Ο σκοπός του LitterDrifter είναι να δημιουργήσει επικοινωνίες με τον διακομιστή εντολών και ελέγχου (C2) της ομάδας απειλών και να εξαπλωθεί σε μονάδες USB.
Για να επιτύχει τον στόχο του, το κακόβουλο λογισμικό χρησιμοποιεί δύο ξεχωριστές ενότητες, οι οποίες εκτελούνται από το εξαιρετικά ασαφές στοιχείο VBS
trash.dll
.
Το σχέδιο εκτέλεσης του LitterDrifter
(Σημείο ελέγχου)
Το LitterDrifter και όλα τα εξαρτήματά του φωλιάζουν στον κατάλογο “Αγαπημένα” του χρήστη και εδραιώνουν την επιμονή προσθέτοντας προγραμματισμένες εργασίες και κλειδιά μητρώου.
Η μονάδα που είναι υπεύθυνη για τη διάδοση σε άλλα συστήματα παρακολουθεί τις νεοεισαχθείσες μονάδες USB και δημιουργεί παραπλανητικές συντομεύσεις LNK μαζί με ένα κρυφό αντίγραφο του “trash.dll”.
Μόλυνση μονάδων USB
(Σημείο ελέγχου)
Το κακόβουλο λογισμικό χρησιμοποιεί το πλαίσιο διαχείρισης των οργάνων διαχείρισης των Windows (WMI) για τον εντοπισμό μονάδων δίσκου-στόχου και δημιουργεί συντομεύσεις με τυχαία ονόματα για την εκτέλεση κακόβουλων σεναρίων.
Ο κωδικός της μονάδας διανομής
(Σημείο ελέγχου)
Οι ερευνητές
εξηγώ
ότι το Gamaredon χρησιμοποιεί τομείς ως σύμβολο κράτησης θέσης για τις διευθύνσεις IP όπου βρίσκονται οι διακομιστές C2. Από αυτή την άποψη, η ομάδα απειλών έχει μια «μάλλον μοναδική» προσέγγιση.
Πριν προσπαθήσετε να επικοινωνήσετε με τον διακομιστή C2, το κακόβουλο λογισμικό αναζητά στον προσωρινό φάκελο για ένα αρχείο διαμόρφωσης. Εάν δεν υπάρχει τέτοιο αρχείο, το LittleDrifter πραγματοποιεί ping σε έναν από τους τομείς του Gamaredon χρησιμοποιώντας ένα ερώτημα WMI.
Η απάντηση στο ερώτημα περιέχει τη διεύθυνση IP του τομέα, η οποία αποθηκεύεται σε ένα νέο αρχείο διαμόρφωσης.
Το Check Point σημειώνει ότι όλοι οι τομείς που χρησιμοποιούνται από το κακόβουλο λογισμικό είναι εγγεγραμμένοι στο «REGRU-RU» και χρησιμοποιούν τον τομέα ανώτατου επιπέδου «.ru», ο οποίος είναι συνεπής με προηγούμενες αναφορές σχετικά με τη δραστηριότητα του Gamaredon.
Η τυπική διάρκεια ζωής κάθε διεύθυνσης IP που λειτουργεί ως C2 στις λειτουργίες LitterDrifter είναι περίπου 28 ώρες, αλλά οι διευθύνσεις μπορεί να αλλάζουν πολλές φορές την ημέρα για να αποφύγουν τον εντοπισμό και τον αποκλεισμό.
Το C2 μπορεί να στείλει πρόσθετα ωφέλιμα φορτία που το LitterDrifter προσπαθεί να αποκωδικοποιήσει και να εκτελέσει στο παραβιασμένο σύστημα. Το CheckPoint διευκρινίζει ότι δεν έγινε λήψη πρόσθετων ωφέλιμων φορτίων στις περισσότερες περιπτώσεις, γεγονός που μπορεί να υποδεικνύει ότι οι επιθέσεις είναι εξαιρετικά στοχευμένες.
Ως εφεδρική επιλογή, το κακόβουλο λογισμικό μπορεί επίσης να ανακτήσει τη διεύθυνση IP C2 από ένα κανάλι Telegram.
Το LitterDrifter είναι πιθανότατα μέρος του πρώτου σταδίου μιας επίθεσης, προσπαθώντας να εδραιώσει την επιμονή στο παραβιασμένο σύστημα και περιμένοντας το C2 να παραδώσει νέα ωφέλιμα φορτία που θα προωθήσουν την επίθεση.
Το κακόβουλο λογισμικό χαρακτηρίζεται από απλότητα και δεν βασίζεται σε νέες τεχνικές, αλλά φαίνεται να είναι αποτελεσματικό.
Check Point’s
κανω ΑΝΑΦΟΡΑ
παρέχει hashes για σχεδόν δύο δωδεκάδες δείγματα LittleDrifter καθώς και τομείς που σχετίζονται με την υποδομή του Gamaredon.
VIA:
bleepingcomputer.com