简单.粗暴.有效!俄罗斯网络间谍的USB蠕虫LitterDrifter来袭

007bug2023-11-20 14:21:41

据Check Point最新发布的分析报告,隶属于联邦安全局(FSB)的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为LitterDrifter的USB蠕虫。报告详细介绍了Gamaredon(又名Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm和Winterflounder)的最新战术,称该组织从事大规模网络活动,随后“针对特定目标进行情报收集工作,其选择很可能是出于间谍目的。LitterDrifter蠕虫病毒包具有两个主要功能:通过连接的USB驱动器自动传播恶意软件以及与威胁参与者的命令和控制(C&C)服务器进行通信。Gamaredon的C&C方法相当独特,因为它利用域名作为实际用作C2服务器的循环IP地址的占位符。LitterDrifter还能够连接到从Telegram频道提取的C&C服务器,这是至少从今年年初以来它反复使用的策略。尽管乌克兰是Gamaredon攻击的重点目标,但根据来自美国、越南、智利、波兰、德国和香港的VirusTotal提交的信息,它还发现了乌克兰境外可能受到感染的迹象。

LitterDrifter概述

LitterDrifter是一种自我传播的蠕虫,具有两个主要功能:在驱动器上传播以及建立通往Gamaredon广泛的命令和控制基础设施的C2通道。这两个功能驻留在以“trash.dll”形式保存到磁盘的编排组件中,该组件实际上是一个VBS,尽管其文件扩展名为“trash.dll”。

图 1 – LitterDrifter的高级执行方案

trash.dll作为初始编排组件,首先运行,其主要功能是解码和执行其他模块,并在受害者环境中维持初始持久性。成功执行后,它将运行两个提取的模块:

1. 传播器模块 – 在系统中分发恶意软件,并通过优先感染逻辑磁盘( mediatype=NULL通常与USB可移动介质相关),可能将其传播到其他环境。

2. C2模块 – 通过生成内置C2服务器的随机子域来检索命令和控制服务器IP地址,同时还维护从Telegram通道检索C2的IP地址的备份选项。其主要目的是与攻击者C&C服务器建立通信并执行传入的有效负载。

感染范围

Gamaredon继续关注乌克兰的各种目标,但由于USB蠕虫的性质,研究人员看到美国、越南、智利、波兰和德国等多个国家可能受到感染的迹象。此外,还观察到香港出现感染的证据。所有这些可能表明,与其他USB蠕虫病毒一样,LitterDrifter的传播范围已经超出了其预期目标。

图1 – LitterDrifter的病毒提交总量

该组织最近开始部署LitterDrifter,这是一种用VBS编写的蠕虫病毒,旨在通过可移动USB驱动器传播并保护C2通道。Gamaredon的基础设施仍然极其灵活和不稳定,同时保持了之前报道的特征和模式。

基础设施

在check point的分析过程中,研究人员注意到Gamaredon在此行动中使用的基础设施存在明显的模式。这包括注册模式,因为Gamaredon的LitterDrifter使用的所有域名均由REGRU-RU.注册。这些发现与Gamaredon基础设施 去的其他报告一致。

根据一些模式,研究者能够将特定域名和子域与LitterDriffter的操作相关联,并将其他域名与Gamaredon活动的其他集群相关联。

在LitterDrifter活动中,C2模块通过WMI查询获取Gamaredon拥有的域名解析。它通过使用随机单词和数字生成硬编码域名的随机子域来实现这一点,因此每个域都展现出各种相关的子域。有些域只有几个子域,而其他域则有数百个。下图显示了分析中遇到的每个域的子域数量:

图2-每个域的子域数量

正如研究过程中之前所描述的,对Gamaredon域铭的WMI查询会返回一个IP地址,该地址用作该活动的操作C2。平均而言,IP地址的可用时间约为28小时。然而,作为主动C2的IP地址通常每天会发生多次变化(所使用的所有IP地址可能都在同一子网内),如下所示:

图3 -过去2个月每天的C&C之IP地址数量

结论

Checkpoint的报告结论认为,这种最近发现的蠕虫病毒的内部运作方式具有俄罗斯特征。LitterDrifter由两个主要组件组成 一个传播模块和一个 C2模块 -显然LitterDrifter的设计目的是支持大规模数据收集操作。它利用简单而有效的技术来确保能够实现该地区最广泛的目标。

LitterDrifter不依赖于突破性技术,可能看起来是一种相对简单的恶意软件。然而,这种简单性也符合其目标,反映了Gamaredon的整体方法。该组织在乌克兰的持续活动证明了这一方法相当有效。

参考资源:

1.https://thehackernews.com/2023/11/russian-cyber-espionage-group-deploys.html

2.https://research.checkpoint.com/2023/malware-spotlight-into-the-trash-analyzing-litterdrifter/

蠕虫
本作品采用《CC 协议》,转载必须注明作者和本文链接
网络安全公司 Palo Alto Networks 近日发布博文,发现了使用 Rust 语言编写的恶意软件--P2PInfect 蠕虫。设计准则为“安全、并发、实用”,支持函数式、并发式、过程式以及面向对象的编程风格。Rust 业内共识是“安全”,微软目前正基于该语言,重新编译?系统内核,以进一步提高 Win11 系统的安全性。
前述上周捕捉到vjw0rm样本,看到没有相关分析,就拿出来分析一波。该样本首次披露在2021-03-24 07:52:09 UTC,最近一次发现在2022-05-11 23:01:38 UTC。VJW0rm是一种公开可用的模块化JavaScript RAT
研究人员开发出首个第一代生成式AI蠕虫,名为 “Morris II”,它能够自动在AI系统之间传播。
主要通过系统进程explorer.exe、services.exe、svchost.exe注入自己的病毒dll,一般为方便开机即运行该蠕虫,有其对应的开机启动服务项利用漏洞
上周末,微软披露在多个行业的数百家企业的网络中发现了一种Windows蠕虫病毒。
微软发布警告称,有一种高风险蠕虫正在感染数百个 Windows 企业网络。
研究人员发现,被称为Raspberry Robin的蠕虫恶意软件自去年9月以来就一直处于活跃状态,并正在通过USB驱动器“蠕动”到Windows机器上,进而可以使用Microsoft Standard Installer和其他合法流程来安装恶意文件。 Red Canary Intelligence的研究人员在秋季首次开始跟踪这一恶意活动。这一恶意活动最初是由Red Canary检测工程团队的Ja
在整理资料时翻到了当时一些应急处置的情况再次复盘学习一下,因有了此文,在2020年11月27号某新闻中心称中心电脑全部被创建新用户密码锁定无法正常使用计算机,要求相关技术人员到现场进行应急处置。
007bug
暂无描述