リッタードリフターワーム

ロシア連邦保安庁 (FSB) に関連するサイバースパイ活動員が、ウクライナの組織を対象とした攻撃に LitterDrifter という名前の USB 伝播ワームを使用していることが検出されました。

この攻撃を指揮している実体は、アクア ブリザード、アイアン チルデン、プリミティブ ベア、シュックワーム、ウィンターフラウンダーなどの別名でも知られるガマレドンとして特定されています。これらのハッカーが採用した最近の戦略は、このグループが大規模なキャンペーンを実施し、その後、特定のターゲットを対象とした細心の注意を払ったデータ収集活動を行っていることを特徴としています。これらのターゲットの選択は、スパイ活動の目的によって行われたと推定されます。

LitterDrifter は当初の目標を超えて広がりました

LitterDrifter ワームは 2 つの主な機能を備えています。接続された USB ドライブを介してマルウェアを自動的に拡散し、脅威アクターのコマンド アンド コントロール (C2、C&C) サーバーとの通信を確立します。これは、研究者らが 2023 年 6 月に公開した、以前に公開された PowerShell ベースの USB ワームからの進歩であるという疑いがあります。

VBS で作成されたスプレッダー モジュールは、ランダムに名前が割り当てられたおとりの LNK を伴って、USB ドライブ内でワームを慎重に配布する責任を負います。 「LitterDrifter」という命名法は、「trash.dll」という名前の初期オーケストレーション コンポーネントに由来しています。

Gamaredon は、C&C に対して独特のアプローチを採用し、C2 サーバーとして使用される実際の IP アドレスのプレースホルダーとしてドメインを利用します。

さらに、LitterDrifter は、Telegram チャネルから抽出された C&C サーバーに接続する機能を示しています。これは、2023 年初頭以来、脅威アクターが一貫して採用している戦術です。サイバーセキュリティの専門家は、ウクライナを越えた感染の潜在的な兆候を特定しており、米国、ベトナムでの活動を示す検出結果を示しています。 、チリ、ポーランド、ドイツ、香港。

ガマレドンの攻撃技術は進化している

今年を通じて、ガマレドンは積極的な存在感を維持し、攻撃戦略を一貫して適応させてきました。 2023 年 7 月、攻撃者が最初の侵害からわずか 1 時間以内に機密情報の送信に成功したため、敵対者の迅速なデータ引き出し能力が明らかになりました。

LitterDrifter が大規模な収集操作を容易にするために特別に作成されたことは明らかです。このマルウェアは、単純かつ効率的な手法を採用することで、地域内の広範囲のターゲットに確実に到達できるようにします。

ロシア・ウクライナ戦争開始以来、脅威アクターの活動が活発化

この展開する出来事は、ウクライナ国家サイバーセキュリティ調整センター（NCSCC）が、イタリア、ギリシャ、ルーマニア、アゼルバイジャンを含むヨーロッパ各地の大使館への攻撃を組織した国家支援のロシアハッカー事件を公表したのと時を同じくしている。

APT29 (別名 Cloaked Ursa、Cozy Bear、Iron Hemlock、Midnight Blizzard など) に起因するこれらの侵入は、BMW の販売宣伝などの欺瞞的な誘惑を通じて、最近明らかになった WinRAR の脆弱性 (CVE-2023-38831) を悪用します。脅威アクターが以前に使用したテーマ。

一連の攻撃は、特別に細工された ZIP ファイルへのリンクを含むフィッシングメールを被害者に配布することから始まります。起動時にこの欠陥が悪用され、Ngrok でホストされているリモート サーバーから PowerShell スクリプトが取得されます。ロシア諜報機関のハッキング グループによる CVE-2023-38831 脆弱性の度重なる悪用は、その人気と洗練度の増大を浮き彫りにしています。

さらに、CERT-UA (ウクライナのコンピュータ緊急対応チーム) は、安全でない RAR アーカイブを配布するフィッシング キャンペーンに関する情報を公開しました。これらのアーカイブには、ウクライナ保安局 (SBU) からの PDF 文書が含まれているとされています。ただし、実際には、 Remcos RATの展開につながる実行可能ファイルが格納されています。