隶属于联邦安全局 (FSB) 的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为LitterDrifter的 USB 蠕虫。
以色列安全公司Check Point详细介绍了Gamaredon(又名 Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm 和 Winterflounder)的最新战术,称该组织从事大规模活动,随后针对特定目标进行数据收集工作,其选择很可能是出于间谍目的。
LitterDrifter蠕虫包含两个主要功能:通过连接的USB驱动器自动传播恶意软件,以及与威胁者的命令和控制(C&C)服务器通信。它也被怀疑是一个基于PowerShell的USB蠕虫的演变,此前由赛门铁克在2023年6月披露。
用VBS编写的传播器模块负责将蠕虫以隐藏文件的形式分发到USB驱动器中,同时分发的还有一个分配了随机名称的诱饵LNK。该恶意软件之所以命名为LitterDrifter,是因为最初的业务流程组件被命名为“trash.dll”。
Gamaredon对C&C的方法是非常独特的,因为它使用域作为实际用作C2服务器的循环IP地址的占位符,”Check Point解释道。
LitterDrifter还能够连接到从Telegram通道提取的C&C服务器,这是威胁者至少从今年年初以来反复使用的一种策略。这家网络安全公司表示,他们还根据美国、越南、智利、波兰、德国和香港提交的VirusTotal报告,在乌克兰以外地区发现了可能感染病毒的迹象。
Gamaredon在今年表现活跃,同时不断发展其攻击方法。在2023年7月,对手的快速数据泄露能力被曝光,因为威胁行为者在最初妥协的一个小时内传输敏感信息。
“很明显,LitterDrifter是为支持大规模收集操作而设计的,”该公司总结道。“它利用简单而有效的技术,确保它能够达到该地区尽可能广泛的目标。”
乌克兰国家网络安全协调中心(NCSCC)透露,俄罗斯政府资助的黑客组织了针对欧洲各国大使馆的攻击,包括意大利、希腊、罗马尼亚和阿塞拜疆。
这部分的入侵归因于APT29(又名aka BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard, and The Dukes),涉及最近披露的WinRAR漏洞(CVE-2023-38831)通过良性前瞻性的诱惑,攻击链首先向受害者发送钓鱼电子邮件,其中包含指向特制ZIP文件的链接,该文件在启动时利用该漏洞从Ngrok托管的远程服务器检索PowerShell脚本。
“俄罗斯情报部门黑客组织利用CVE-2023-38831漏洞的趋势令人担忧,这表明它越来越受欢迎和复杂,”NCSCC表示。
在面对网络攻击,尤其是来自国家网络间谍活动的攻击时,保护网络和系统的安全变得尤为重要。以下是一些建议,用于防御和对抗这样的攻击:
-
更新和强化防火墙和入侵检测系统: 确保你的防火墙和入侵检测系统是最新的,并配置为及时检测和阻止潜在的攻击。定期审查和更新规则,以适应新的威胁。
-
定期更新和维护系统: 确保所有系统、应用程序和设备都及时更新,修补已知漏洞。这包括操作系统、防病毒软件、浏览器等。
-
网络监控:实施实时网络监控,以便检测异常活动。使用行为分析和其他先进的威胁检测技术,以及监控异常网络流量。
-
教育和培训: 对员工进行网络安全意识培训,使其了解常见的网络威胁和攻击手法。提高员工对社交工程和钓鱼攻击的警惕性。
-
设备管理和控制: 实施设备管理策略,限制外部设备(如USB驱动器)的使用。通过禁用不必要的设备接口,可以降低受到USB蠕虫等攻击的风险。
-
加密和安全连接:使用加密技术来保护敏感数据,同时采用安全连接(如VPN)来加强通信的保密性和完整性。
-
应急响应计划: 制定并测试网络攻击的应急响应计划。确保你的团队了解如何快速有效地应对攻击,以最小化损失。
-
合作与信息共享: 与其他组织、政府机构和网络安全社区合作,共享有关新威胁和攻击的信息。这有助于提前了解潜在风险。
-
网络隔离: 部署网络隔离措施,以限制攻击蔓延。通过划分网络,可以减少攻击者在网络内部移动的能力。
-
专业支持: 在需要时,寻求专业的网络安全支持。安全专家和网络安全公司可能能够提供有关最新威胁的详细信息和解决方案。
请注意,这些建议并不能保证百分之百的防御,但它们可以大幅提高网络安全水平。在面对实际攻击时,及时的响应和合作也是至关重要的。
【安全圈】多地出现“电话手表兑换卡”新型诈骗,警方提醒若捡到要直接销毁
【安全圈】赌客报警遭遇电诈牵出一起涉22省市特大案
【安全圈】三星英国被曝光客户信息遭黑客窃取 持续时间长达 1 年
【安全圈】整治黑产乱象,滴滴联合警方起获数十款网约车接单作弊器
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!