简单.粗暴.有效俄罗斯网络间谍的USB蠕虫Litt ^繁體

         据Check Point最新发布的分析报告，隶属于联邦安全局(FSB)的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为LitterDrifter的USB蠕虫。报告详细介绍了Gamaredon（又名Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm和Winterflounder）的最新战术，称该组织从事大规模网络活动，随后“针对特定目标进行情报收集工作，其选择很可能是出于间谍目的。LitterDrifter蠕虫病毒包具有两个主要功能：通过连接的USB驱动器自动传播恶意软件以及与威胁参与者的命令和控制(C&C)服务器进行通信。Gamaredon的C&C方法相当独特，因为它利用域名作为实际用作C2服务器的循环IP地址的占位符。LitterDrifter还能够连接到从Telegram频道提取的C&C服务器，这是至少从今年年初以来它反复使用的策略。尽管乌克兰是Gamaredon攻击的重点目标，但根据来自美国、越南、智利、波兰、德国和香港的VirusTotal提交的信息，它还发现了乌克兰境外可能受到感染的迹象。
      
      

         LitterDrifter概述
      
      

         LitterDrifter是一种自我传播的蠕虫，具有两个主要功能：在驱动器上传播以及建立通往Gamaredon广泛的命令和控制基础设施的C2通道。这两个功能驻留在以“trash.dll”形式保存到磁盘的编排组件中，该组件实际上是一个VBS，尽管其文件扩展名为“trash.dll”。
      
      

         图 1 – LitterDrifter的高级执行方案
      
      

         trash.dll作为初始编排组件，首先运行，其主要功能是解码和执行其他模块，并在受害者环境中维持初始持久性。成功执行后，它将运行两个提取的模块：
      
      

         1. 传播器模块 – 在系统中分发恶意软件，并通过优先感染逻辑磁盘（ mediatype=NULL通常与USB可移动介质相关），可能将其传播到其他环境。
      
      

         2. C2模块 – 通过生成内置C2服务器的随机子域来检索命令和控制服务器IP地址，同时还维护从Telegram通道检索C2的IP地址的备份选项。其主要目的是与攻击者C&C服务器建立通信并执行传入的有效负载。
      
      

         感染范围
      
      

         Gamaredon继续关注乌克兰的各种目标，但由于USB蠕虫的性质，研究人员看到美国、越南、智利、波兰和德国等多个国家可能受到感染的迹象。此外，还观察到香港出现感染的证据。所有这些可能表明，与其他USB蠕虫病毒一样，LitterDrifter的传播范围已经超出了其预期目标。
      
      

         图1 – LitterDrifter的病毒提交总量
      
      

         该组织最近开始部署LitterDrifter，这是一种用VBS编写的蠕虫病毒，旨在通过可移动USB驱动器传播并保护C2通道。Gamaredon的基础设施仍然极其灵活和不稳定，同时保持了之前报道的特征和模式。
      
      

         基础设施
      
      

         在check point的分析过程中，研究人员注意到Gamaredon在此行动中使用的基础设施存在明显的模式。这包括注册模式，因为Gamaredon的LitterDrifter使用的所有域名均由REGRU-RU.注册。这些发现与Gamaredon基础设施 去的其他报告一致。
      
      

         根据一些模式，研究者能够将特定域名和子域与LitterDriffter的操作相关联，并将其他域名与Gamaredon活动的其他集群相关联。
      
      

         在LitterDrifter活动中，C2模块通过WMI查询获取Gamaredon拥有的域名解析。它通过使用随机单词和数字生成硬编码域名的随机子域来实现这一点，因此每个域都展现出各种相关的子域。有些域只有几个子域，而其他域则有数百个。下图显示了分析中遇到的每个域的子域数量：
      
      

         图2-每个域的子域数量
      
      

         正如研究过程中之前所描述的，对Gamaredon域铭的WMI查询会返回一个IP地址，该地址用作该活动的操作C2。平均而言，IP地址的可用时间约为28小时。然而，作为主动C2的IP地址通常每天会发生多次变化（所使用的所有IP地址可能都在同一子网内），如下所示：
      
      

         图3 -过去2个月每天的C&C之IP地址数量
      
      

         结论
      
      

         Checkpoint的报告结论认为，这种最近发现的蠕虫病毒的内部运作方式具有俄罗斯特征。LitterDrifter由两个主要组件组成 一个传播模块和一个 C2模块 -显然LitterDrifter的设计目的是支持大规模数据收集操作。它利用简单而有效的技术来确保能够实现该地区最广泛的目标。
      
      

         LitterDrifter不依赖于突破性技术，可能看起来是一种相对简单的恶意软件。然而，这种简单性也符合其目标，反映了Gamaredon的整体方法。该组织在乌克兰的持续活动证明了这一方法相当有效。
      
      

         参考资源：
      
      

         1./2023/11/russian-cyber-espionage-group-deploys.html
      
      

         2./2023/malware-spotlight-into-the-trash-analyzing-litterdrifter/
      
      

         

      
      

         

      
      

         原文来源：网空闲话plus
      
      

         

            

               

                  

                     “投稿联系方式：010-82992251 [email protected]”