Було помічено, що пов’язане з ФСБ угрупування російських кібершпигунів Gamaredon (інші назви: Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm і Winterflounder) застосовує USB-хробака під назвою LitterDrifter для атак на українські компанії. Вони провели широкомасштабні кампанії зі спробами викрадення даних конкретних цілей з метою шпигунства.
Хробак LitterDrifter має дві основні функції: автоматичне розповсюдження шкідливого ПЗ через підключені USB-накопичувачі та комунікація з серверами командування та керування (C&C) зловмисника. Підозрюють, що LitterDrifter є удосконаленим USB-хробаком на основі PowerShell, що був викритий у червні 2023 року.
Написаний на VBS модуль розповсюдження відповідає за поширення хробака у вигляді прихованого файлу на USB-накопичувачі разом із оманливим LNK (Windows Shortcut File), що призначає випадкові назви. Шкідливе ПЗ LitterDrifter так називається через початковий компонент «trash.dll» («litter» і «trash» перекладаються як «сміття»).
“Підхід Gamaredon до C&C досить унікальний, оскільки він використовує домени для змінюваних IP-адрес C2 серверів,” – пояснили Check Point.
LitterDrifter також може підключатися до C&C-сервера Telegram-каналу. Ця тактика неодноразово використовувалася в поточному 2023 році.
Фірма кібербезпеки заявила про виявлення ознак можливого поширення шкідливого ПЗ за межі України. Вони опиралися на дані VirusTotal з США, В’єтнаму, Чилі, Польщі, Німеччини та Гонконгу.
Gamaredon активно діяли в цьому році, постійно вдосконалюючи свої методи атак. У липні 2023 року було виявлено їхню тактику швидкого викрадення даних. Вона здійснюється протягом години після початкового злому.
“Очевидно, що LitterDrifter був розроблений для участі у масштабній операції з вилучення даних. Він використовує прості, але ефективні методи для охоплення якомога більшої кількості цілей у регіоні,” – підсумували Check Point.
Крім того, до цього Національний координаційний центр кібербезпеки України (НКЦК) виявив атаки на посольства в Європі, включаючи Італію, Грецію, Румунію та Азербайджан, що були організовані зловмисними хакерами з підтримкою від російського уряду.
Ці атаки приписують угрупуванню APT29 (інші назви: BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard і The Dukes). Вони базуються на експлуатації нещодавно виявленої вразливості WinRAR (CVE-2023-38831) і надсиланні фейкових пропозицій зі знижками на BMW.
Ланцюжок атак починається з відправки фішингових електронних листів із посиланням на ZIP-файл, що під час запуску експлуатує раніше згадану вразливість для отримання скрипту PowerShell з віддаленого сервера, розміщеного на Ngrok.
Цього тижня Команда реагування на комп’ютерні надзвичайні події України (CERT-UA) також виявила фішингову кампанію з розповсюдження шкідливих RAR-архівів із PDF-документом, нібито створеним Службою безпеки України (СБУ). Але насправді цей файл розгортає Remcos RAT.
CERT-UA стежить за діяльністю злочинних хакерів під псевдонімом UAC-0050. Вони пов’язані з серією кібератак для розповсюдження Remcos RAT на державні органи України у лютому 2023 року.
Як захиститися від викрадення даних?
Спеціалісти CoreWin рекомендують звернути увагу на рішення Endpoint Protector (DLP), а саме його модуль Device Control.
Він забезпечує моніторинг, контроль та блокування USB-пристроїв. А також дає можливість налаштувати політику для блокування сторонніх USB, таким чином убезпечуючи від пов’язаних з ними загроз.
