Ερευνητές ασφαλείας ανακάλυψαν πρόσφατα ένα worm, το οποίο ονόμασαν LittleDrifter. Το LittleDrifter malware εξαπλώνεται μέσω USB και έχει μολύνει συστήματα σε πολλές χώρες στα πλαίσια μιας εκστρατείας των Gamaredon hackers.
Οι ερευνητές παρατήρησαν παραβιάσεις στις Ηνωμένες Πολιτείες, την Ουκρανία, τη Γερμανία, το Βιετνάμ, την Πολωνία, τη Χιλή και το Χονγκ Κονγκ. Πιστεύεται ότι η ομάδα απειλών έχασε τον έλεγχο του LittleDrifter, καθώς αυτό έφτασε σε μη επιδιωκόμενους στόχους.
Σύμφωνα με έρευνα από την Check Point, το LittleDrifter malware είναι γραμμένο σε VBS και σχεδιάστηκε για να διαδίδεται μέσω USB drives.
Οι hackers Gamaredon, γνωστοί και ως Shuckworm, Iron Tilden και Primitive Bear, είναι μια ομάδα κατασκοπείας στον κυβερνοχώρο που σχετίζεται με τη Ρωσία και για τουλάχιστον μια δεκαετία έχει στοχεύσει οργανισμούς στην Ουκρανία (σε τομείς όπως η κυβέρνηση, η άμυνα και οι κρίσιμες υποδομές).
Δείτε επίσης: Σχολεία K-12: Βελτιώνουν την προστασία ενάντια στις κυβερνοεπιθέσεις αλλά είναι ακόμα ευάλωτα
LitterDrifter malware
Ο σκοπός του LitterDrifter είναι να δημιουργήσει επικοινωνίες με τον command and control (C2) server της ομάδας απειλών και να εξαπλωθεί μέσω USB drives.
Για να επιτύχει τον στόχο του, το κακόβουλο λογισμικό χρησιμοποιεί δύο ξεχωριστές λειτουργικές μονάδες, οι οποίες εκτελούνται από το εξαιρετικά obfuscated VBS component trash.dll.
Το LitterDrifter και όλα τα components του κρύβονται στον κατάλογο “Favorites” του θύματος και επιτυγχάνουν persistence προσθέτοντας scheduled tasks και registry keys.
Ένα από τα components παρακολουθεί τις νεοεισαχθείσες μονάδες USB και δημιουργεί παραπλανητικές συντομεύσεις LNK μαζί με ένα κρυφό αντίγραφο του “trash.dll“. Το κακόβουλο λογισμικό χρησιμοποιεί το Windows Management Instrumentation (WMI) management framework για τον εντοπισμό των drives-στόχων και δημιουργεί συντομεύσεις με τυχαία ονόματα για την εκτέλεση κακόβουλων scripts.
Σύμφωνα με τους ερευνητές, οι hackers Gamaredon χρησιμοποιούν domains ως placeholder για τις διευθύνσεις IP όπου βρίσκονται οι διακομιστές C2 (μια μάλλον μοναδική προσέγγιση).
Πριν γίνει επικοινωνία με τον διακομιστή C2, το κακόβουλο λογισμικό αναζητά στον προσωρινό φάκελο για ένα αρχείο διαμόρφωσης. Εάν δεν υπάρχει τέτοιο αρχείο, το LittleDrifter malware πραγματοποιεί ping σε ένα από τα domains της ομάδας Gamaredon χρησιμοποιώντας ένα WMI query. Η απάντηση στο WMI query περιέχει τη διεύθυνση IP του domain, η οποία αποθηκεύεται σε ένα νέο αρχείο διαμόρφωσης.
Η Check Point παρατήρησε ότι όλα τα domains που χρησιμοποιούνται από το κακόβουλο λογισμικό έχουν εγγραφεί στο “REGRU-RU” και χρησιμοποιούν το ‘.ru’ top-level domain.
Δείτε επίσης: Το Rhysida ransomware πίσω από την επίθεση στη Βρετανική Βιβλιοθήκη;
Η τυπική διάρκεια ζωής κάθε διεύθυνσης IP που λειτουργεί ως C2 στις λειτουργίες LitterDrifter είναι περίπου 28 ώρες. Ωστόσο, σύμφωνα με τους ερευνητές, οι διευθύνσεις μπορεί να αλλάζουν μέσα στην ημέρα για να αποφύγουν τον εντοπισμό και τον αποκλεισμό.
Ο C2 server μπορεί να στείλει πρόσθετα payloads που το LitterDrifter malware προσπαθεί να αποκωδικοποιήσει και να εκτελέσει στο παραβιασμένο σύστημα. Όμως, η CheckPoint παρατήρησε ότι στις περισσότερες περιπτώσεις δεν υπήρχε λήψη πρόσθετων payloads, γεγονός που μπορεί να υποδεικνύει ότι οι επιθέσεις είναι εξαιρετικά στοχευμένες.
Το LitterDrifter είναι πιθανότατα μέρος του πρώτου σταδίου μιας επίθεσης, προσπαθώντας να εδραιώσει persistence στο παραβιασμένο σύστημα και περιμένοντας το C2 να παραδώσει νέα payloads.
Το κακόβουλο λογισμικό φαίνεται να είναι απλό και αποτελεσματικό.
Περισσότερες λεπτομέρειες για το malware και τον τρόπο λειτουργίας του, μπορείτε να βρείτε στην έκθεση της CheckPoint.
Για να προστατευθούν από το USB malware LittleDrifter της Gamaredon, τα άτομα και οι οργανισμοί μπορούν να λάβουν τα εξής προληπτικά μέτρα:
- Ενημέρωση και εκπαίδευση: Είναι σημαντικό να είμαστε ενημερωμένοι για τις τελευταίες απειλές και τεχνικές επίθεσης. Οι άνθρωποι και οι οργανισμοί πρέπει να εκπαιδεύονται σε θέματα κυβερνοασφάλειας και να είναι ενήμεροι για τα μέτρα προστασίας που πρέπει να λάβουν.
- Εγκατάσταση ενημερωμένου anti-virus και anti-malware λογισμικού: Ένα ενημερωμένο και αξιόπιστο λογισμικό anti-virus και anti-malware μπορεί να ανιχνεύσει και να απομακρύνει το malware πριν προκαλέσει ζημιά.
- Περιορισμός των δικαιωμάτων πρόσβασης: Οι χρήστες πρέπει να έχουν μόνο τα απαραίτητα δικαιώματα πρόσβασης στο σύστημα. Αυτό μειώνει τον κίνδυνο εκμετάλλευσης των ευπαθειών του συστήματος από το malware.
- Αποφυγή ύποπτων email και συνημμένων: Οι χρήστες πρέπει να είναι προσεκτικοί με τα αρχεία που λαμβάνουν μέσω email, κοινωνικών δικτύων και άλλων πηγών. Αν ένα αρχείο φαίνεται ύποπτο ή απρόσμενο, πρέπει να αποφεύγεται το άνοιγμά του.
- Ενημέρωση του λειτουργικού συστήματος και των εφαρμογών: Οι άνθρωποι και οι οργανισμοί πρέπει να ενημερώνουν τακτικά το λειτουργικό σύστημα και τις εφαρμογές τους με τις τελευταίες ενημερώσεις ασφαλείας, καθώς αυτές συχνά διορθώνουν γνωστές ευπάθειες.
Δείτε επίσης: Οι Ρώσοι hackers APT29 χρησιμοποιούν WinRAR exploit για επιθέσεις σε πρεσβείες
Με τη λήψη αυτών των προληπτικών μέτρων, οι άνθρωποι και οι οργανισμοί μπορούν να μειώσουν τον κίνδυνο προσβολής από το LittleDrifter USB malware των Gamaredon hackers.
Πηγή: www.bleepingcomputer.com
