APT组织 GAMAREDON 使用 USB 蠕虫 LITTERDRIFTER 攻击乌克兰

阅读量172426

发布时间 : 2023-11-21 17:18:23

Check Point 研究人员观察到,Gamaredonh黑客组织在针对乌克兰的攻击中通过 USB 传播名为 LitterDrifter 的蠕虫病毒。

Gamaredon(又名 Shuckworm、Actinium、Armageddon、Primitive Bear、UAC-0010 和 Trident Ursa)自 2014 年以来一直活跃,其活动重点在乌克兰,该组织使用多级后门Pteranodon / Pterodo进行观察 。

Gamaredon   APT 组织 持续对乌克兰境内 实体进行攻击,包括安全部门、军队和政府组织。

自俄乌问题爆发以来,该网络间谍组织已针对乌克兰目标开展了多次活动。CERT-UA 监控了 Gamaredon 的行动,并能够收集有关 APT 战术、技术和程序 (TTP) 的情报。

Check Point 表示,Gamaredon 组织通常会开展大规模活动,然后进行情报收集活动。在最新的攻击中,该组织使用了 USB 传播蠕虫 LitterDrifter。

LitterDrifter蠕虫病毒是用VBS编写的,它支持两个主要功能:自动USB传播和与广泛、灵活的C2集通信。

“这些功能的实施方式符合该组织的目标,有效地维持了跨广泛目标的持久指挥和控制(C2)通道。” 阅读CheckPoint 发布的分析。“LitterDrifter 似乎是先前报道的 将 Gamaredon 组织与正在传播的 USB Powershell 蠕虫联系在一起的活动的演变 。”

这两个功能在保存到磁盘的“trash.dll”编排组件中实现,该组件实际上是一个 VBS 脚本而不是 DLL。

运行编排组件后,它会解码并运行其他模块,并在受感染的系统上保持持久性。

提取的两个模块:

1.  Spreader 模块允许恶意软件在系统内传播,并可能通过优先感染 mediatype=NULL 的逻辑磁盘(通常与 USB 可移动介质相关)来针对其他环境。

2.  C2 模块与攻击者 C&C 服务器建立通信并执行传入的有效负载。该组件通过生成内置 C2 服务器的随机子域来检索 C2 服务器的 IP 地址。它还通过从 Telegram 频道检索 C2 服务器的 IP 地址来维护备份选项。

“Gamaredon 的 C&C 方法相当独特,因为它利用域名作为实际用作 C2 服务器的循环 IP 地址的占位符。” 报告继续。“在尝试联系 C2 服务器之前,该脚本会检查 %TEMP% 文件夹中是否存在硬编码在恶意软件中的无意义名称的现有 C2 配置文件。此机制充当恶意软件的自检功能,验证它是否已经感染了计算机。如果存在,当前执行可能只是由持久性机制触发的计划执行。”

威胁参与者严重混淆了编排组件,它是由一系列具有字符替换混淆的字符串构成的。

垃圾漂流者加马雷顿

Check Point 研究人员报告称,美国、越南、智利、波兰、德国和香港也可能出现感染。

“LitterDrifter 不依赖于突破性技术,可能看起来是一种相对简单的恶意软件。然而,这种简单性也符合其目标,反映了 Gamaredon 的整体方法。” 该报告总结道,其中还包括妥协指标。“这一方法已证明相当有效,该组织在乌克兰的持续活动就证明了这一点。”

6 月,赛门铁克研究人员报告称,在某些情况下, 网络间谍组织 在目标网络中长达三个月仍未被发现。

大多数攻击开始于 2023 年 2 月/3 月,直到 5 月才在目标网络中发现威胁行为者。在一些攻击中,威胁行为者成功侵入了受害者的人力资源部门,试图收集有关各个组织人员的情报。

威胁行为者专注于窃取敏感信息,例如有关乌克兰军人死亡、敌方交战和空袭、军火库库存、军事训练等的报告。

赛门铁克指出,该组织多次刷新其工具集以避免被发现,研究人员发现了已知工具的新版本,并观察到该组织使用了短暂的基础设施。

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/291438

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66