导语
俄罗斯网络间谍组织最近在针对乌克兰实体的攻击中,部署了一种名为LitterDrifter的USB蠕虫。这种蠕虫具有自动传播恶意软件的功能,并与威胁行为者的命令和控制服务器进行通信。该组织被称为Gamaredon,其攻击行动被认为是大规模的,旨在进行针对特定目标的数据收集,可能是出于间谍目的。本文将详细介绍LitterDrifter蠕虫的部署和攻击方式,以及Gamaredon组织的独特C&C方法。
LitterDrifter USB蠕虫的部署和攻击方式
LitterDrifter蠕虫主要通过连接的USB驱动器自动传播恶意软件,并与威胁行为者的命令和控制服务器进行通信。这种蠕虫被怀疑是Symantec于2023年6月披露的基于PowerShell的USB蠕虫的演变版本。蠕虫的传播模块是使用VBS编写的,负责将蠕虫作为隐藏文件与随机命名的伪装LNK一起分发到USB驱动器中。蠕虫的名称LitterDrifter源于初始编排组件的命名为"trash.dll"。
Gamaredon的独特C&C方法
Gamaredon组织在与命令和控制服务器(C&C)的通信中采用了独特的方法,即使用域名作为实际用作C2服务器的IP地址的占位符。这种方法使得追踪和干扰C&C服务器变得更加困难。此外,LitterDrifter蠕虫还能够连接到从Telegram频道提取的C&C服务器,这是自今年年初以来一直在使用的策略。
LitterDrifter的大规模数据收集行动
LitterDrifter蠕虫的设计目的是支持大规模的数据收集行动,它利用简单但有效的技术确保能够影响该地区尽可能广泛的目标。根据检测到的VirusTotal提交,我们还发现了乌克兰以外的地区可能遭受到感染的迹象,包括美国、越南、智利、波兰、德国和香港等地。
俄罗斯APT29组织利用WinRAR漏洞攻击欧洲大使馆
与此同时,乌克兰国家网络安全协调中心(NCSCC)披露了俄罗斯国家支持的黑客组织针对欧洲大使馆的攻击。这些入侵行动被归因于APT29组织,该组织利用了最近披露的WinRAR漏洞(CVE-2023-38831),通过声称提供出售宝马汽车的伪装诱饵进行攻击。
结语
LitterDrifter USB蠕虫的部署和Gamaredon组织的攻击行动再次凸显了网络间谍活动的严重性和复杂性。我们应该保持警惕,并加强网络安全措施,以保护个人和组织的敏感信息免受这些威胁的侵害。
