Было замечено, что связанная с ФСБ группировка российских кибершпионов Gamaredon (другие названия: Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm и Winterflounder) применяет USB-червя LitterDrifter для атак на украинские компании. Они провели широкомасштабные кампании с попытками кражи данных конкретных целей в целях шпионажа.
У червя LitterDrifter есть две основные функции: автоматическое распространение вредоносного ПО через подключенные USB-накопители и коммуникация с серверами командования и управления (C&C) злоумышленника. Есть предположение, что LitterDrifter является усовершенствованным USB-червем на основе PowerShell. Он был обнаружен в июне 2023 года.
Написанный на VBS модуль отвечает за распространение червя в виде скрытого файла на USB-накопителе вместе с обманчивым LNK (Windows Shortcut File), который назначает случайные названия. Вредоносное ПО LitterDrifter так называется из-за начального компонента «trash.dll» («litter» и «trash» переводятся как «мусор»).
“Подход Gamaredon к C&C достаточно уникален, поскольку он использует домены для изменяемых IP-адресов C2 серверов,” – объяснили Check Point.
LitterDrifter также может подключаться к C&C-серверу Telegram-канала. Эта тактика не раз была использована в текущем 2023 году.
Фирма кибербезопасности заявила об обнаружении признаков возможного распространения вредоносного ПО за пределы Украины. Они опирались на данные VirusTotal из США, Вьетнама, Чили, Польши, Германии и Гонконга.
Gamaredon активно проявляли себя в этом году, постоянно совершенствуя свои методы атак. В июле 2023 года была обнаружена их тактика быстрой кражи данных. Она осуществляется в течение часа после начального взлома.
“Очевидно, что LitterDrifter был разработан для участия в масштабной операции кражи данных. Он использует простые, но в то же время эффективные методы для охвата как можно большего количества целей в регионе,” – подытожили Check Point.
Кроме того, ранее Национальный координационный центр кибербезопасности Украины (НКЦК) обнаружил атаки на посольства в Европе, включая Италию, Грецию, Румынию и Азербайджан, организованные злонамеренными хакерами с поддержкой от российского правительства.
Эти атаки приписывают группировке APT29 (другие названия: BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard и The Dukes). Они основываются на эксплуатации недавно обнаруженной уязвимости WinRAR (CVE-2023-38831) и отправке фейковых предложений со скидками на BMW.
Цепочка атак начинается с отправки фишинговых электронных писем со ссылкой на ZIP-файл, который при запуске эксплуатирует ранее упомянутую уязвимость для получения скрипта PowerShell с удаленного сервера, размещенного на Ngrok.
На этой неделе Команда реагирования на компьютерные чрезвычайные события Украины (CERT-UA) также обнаружила фишинговую кампанию по распространению вредоносных RAR-архивов с документом PDF, якобы созданным Службой безопасности Украины (СБУ). Но на самом деле этот файл развертывает Remcos RAT.
CERT-UA следит за деятельностью преступных хакеров под псевдонимом UAC-0050. Они связаны с серией кибератак для распространения Remcos RAT на государственные органы Украины в феврале 2023 года.
Как защититься от кражи данных?
Специалисты CoreWin рекомендуют обратить внимание на решение Endpoint Protector (DLP), а именно на его модуль Device Control. Он обеспечивает мониторинг, контроль и блокировку USB-устройств.
А также позволяет настроить политику для блокировки посторонних USB, таким образом защищая от связанных с ними угроз.
