Alcuni malintenzionati russi addetti al cyberspionaggio e affiliati al Federal Security Service (FSB) sono stati osservati nell’uso di un worm che viene propagato tramite USB chiamato LitterDrifter in attacchi mirati verso entità governative ucraine.
Da dove salta fuori LittleDrifter
Check Point, che ha steso un rapporto dettagliato le ultime tattiche di Gamaredon (gruppo o persona conosciuto anche come Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm e Winterflounder), ha segnalato che il gruppo che ha creato LittleDrifter è responsabile di campagne su larga scala seguite da “sforzi di raccolta dati mirati a obiettivi specifici, la cui selezione è probabilmente motivata da obiettivi di spionaggio“.
Il worm LitterDrifter alcune caratteristiche peculiari: la prima è la diffusione automatica del malware tramite unità USB collegate e la seconda è la comunicazione con i server di comando e controllo (C&C) del malintenzionat; si sospetta anche che sia un’evoluzione di un worm USB basato su PowerShell che è stato precedentemente divulgato da Symantec nel giugno 2023.
Scritto in VBS, il modulo di diffusione di LittleDrifter è responsabile della distribuzione del worm come file nascosto in un’unità USB insieme a un LNK fittizio a nomi casuali; il malware prende il nome di LitterDrifter dal fatto che il componente di orchestratura iniziale è chiamato “trash.dll”.
“L’approccio di Gamaredon nei confronti del C&C è piuttosto unico, poiché utilizza domini come segnaposto per gli indirizzi IP in circolazione effettivamente utilizzati come server C2“, spiega Check Point.
LitterDrifter è anche in grado di connettersi a un server C&C estratto da un canale Telegram, una tattica che ha utilizzato ripetutamente almeno dall’inizio dell’anno.
La società di sicurezza informatica ha dichiarato di aver rilevato segni di possibili infezioni al di fuori dell’Ucraina, basandosi su segnalazioni di VirusTotal dagli Stati Uniti, dal Vietnam, dal Cile, dalla Polonia, dalla Germania e da Hong Kong.
Gamaredon ha avuto una presenza attiva quest’anno, evolvendo continuamente i suoi metodi di attacco; nel luglio 2023, sono emerse le rapide capacità di esfiltrazione dati del nemico, con il criminale informatico che trasmette informazioni sensibili entro un’ora dalla compromissione iniziale.
“È chiaro che LitterDrifter è stato progettato per supportare un’operazione di raccolta su larga scala“, ha concluso l’azienda. “Utilizza tecniche semplici ma efficaci per assicurarsi di poter raggiungere il più ampio set possibile di obiettivi nella regione“.
Lo sviluppo giunge mentre il National Cybersecurity Coordination Center (NCSCC) dell’Ucraina ha rivelato attacchi orchestrati da hacker russi mandati dalla Russia stessa che mirano alle ambasciate europee, tra cui quelle in Italia, Grecia, Romania e Azerbaijan.
Le intrusioni, attribuite a APT29 (gruppo conosciuto anche come BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard e The Dukes), coinvolgono lo sfruttamento della recentemente divulgata vulnerabilità di WinRAR (CVE-2023-38831) attraverso esche dall’aspetto benigno che affermano offrire BMW in vendita, un tema già utilizzato in passato.
La catena di attacco inizia inviando agli utenti phishing email contenenti un link a un file ZIP appositamente creato che, una volta lanciato, sfrutta la falla per recuperare uno script PowerShell da un server remoto ospitato su Ngrok.
“Una tendenza preoccupante di sfruttare la vulnerabilità CVE-2023-38831 da parte di gruppi di hacking dei servizi di intelligence russi dimostra la sua crescente popolarità e sofisticazione“, ha dichiarato il NCSCC.
All’inizio di questa settimana, il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha scoperto una campagna di phishing che diffonde archivi RAR dannosi mascherati come un documento PDF dai Servizi di sicurezza dell’Ucraina (SBU), ma che in realtà è un eseguibile che porta al rilascio di Remcos RAT.
CERT-UA sta monitorando l’attività con il soprannome UAC-0050, che è stato anche collegato a un’altra serie di attacchi informatici mirati alle autorità statali del paese per distribuire Remcos RAT nel febbraio 2023.
