據Check Point最新發布的分析報告,隸屬于聯邦安全局(FSB)的俄羅斯網絡間諜活動者在針對烏克蘭實體的攻擊中使用了名為LitterDrifter的USB蠕蟲。報告詳細介紹了Gamaredon(又名Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm和Winterflounder)的最新戰術,稱該組織從事大規模網絡活動,隨后“針對特定目標進行情報收集工作,其選擇很可能是出于間諜目的。LitterDrifter蠕蟲病毒包具有兩個主要功能:通過連接的USB驅動器自動傳播惡意軟件以及與威脅參與者的命令和控制(C&C)服務器進行通信。Gamaredon的C&C方法相當獨特,因為它利用域名作為實際用作C2服務器的循環IP地址的占位符。LitterDrifter還能夠連接到從Telegram頻道提取的C&C服務器,這是至少從今年年初以來它反復使用的策略。盡管烏克蘭是Gamaredon攻擊的重點目標,但根據來自美國、越南、智利、波蘭、德國和香港的VirusTotal提交的信息,它還發現了烏克蘭境外可能受到感染的跡象。

LitterDrifter概述

LitterDrifter是一種自我傳播的蠕蟲,具有兩個主要功能:在驅動器上傳播以及建立通往Gamaredon廣泛的命令和控制基礎設施的C2通道。這兩個功能駐留在以“trash.dll”形式保存到磁盤的編排組件中,該組件實際上是一個VBS,盡管其文件擴展名為“trash.dll”。

圖 1 – LitterDrifter的高級執行方案

trash.dll作為初始編排組件,首先運行,其主要功能是解碼和執行其他模塊,并在受害者環境中維持初始持久性。成功執行后,它將運行兩個提取的模塊:

1. 傳播器模塊 – 在系統中分發惡意軟件,并通過優先感染邏輯磁盤( mediatype=NULL通常與USB可移動介質相關),可能將其傳播到其他環境。

2. C2模塊 – 通過生成內置C2服務器的隨機子域來檢索命令和控制服務器IP地址,同時還維護從Telegram通道檢索C2的IP地址的備份選項。其主要目的是與攻擊者C&C服務器建立通信并執行傳入的有效負載。

感染范圍

Gamaredon繼續關注烏克蘭的各種目標,但由于USB蠕蟲的性質,研究人員看到美國、越南、智利、波蘭和德國等多個國家可能受到感染的跡象。此外,還觀察到香港出現感染的證據。所有這些可能表明,與其他USB蠕蟲病毒一樣,LitterDrifter的傳播范圍已經超出了其預期目標。

圖1 – LitterDrifter的病毒提交總量

該組織最近開始部署LitterDrifter,這是一種用VBS編寫的蠕蟲病毒,旨在通過可移動USB驅動器傳播并保護C2通道。Gamaredon的基礎設施仍然極其靈活和不穩定,同時保持了之前報道的特征和模式。

基礎設施

在check point的分析過程中,研究人員注意到Gamaredon在此行動中使用的基礎設施存在明顯的模式。這包括注冊模式,因為Gamaredon的LitterDrifter使用的所有域名均由REGRU-RU.注冊。這些發現與Gamaredon基礎設施 去的其他報告一致。

根據一些模式,研究者能夠將特定域名和子域與LitterDriffter的操作相關聯,并將其他域名與Gamaredon活動的其他集群相關聯。

在LitterDrifter活動中,C2模塊通過WMI查詢獲取Gamaredon擁有的域名解析。它通過使用隨機單詞和數字生成硬編碼域名的隨機子域來實現這一點,因此每個域都展現出各種相關的子域。有些域只有幾個子域,而其他域則有數百個。下圖顯示了分析中遇到的每個域的子域數量:

圖2-每個域的子域數量

正如研究過程中之前所描述的,對Gamaredon域銘的WMI查詢會返回一個IP地址,該地址用作該活動的操作C2。平均而言,IP地址的可用時間約為28小時。然而,作為主動C2的IP地址通常每天會發生多次變化(所使用的所有IP地址可能都在同一子網內),如下所示:

圖3 -過去2個月每天的C&C之IP地址數量

結論

Checkpoint的報告結論認為,這種最近發現的蠕蟲病毒的內部運作方式具有俄羅斯特征。LitterDrifter由兩個主要組件組成 一個傳播模塊和一個 C2模塊 -顯然LitterDrifter的設計目的是支持大規模數據收集操作。它利用簡單而有效的技術來確保能夠實現該地區最廣泛的目標。

LitterDrifter不依賴于突破性技術,可能看起來是一種相對簡單的惡意軟件。然而,這種簡單性也符合其目標,反映了Gamaredon的整體方法。該組織在烏克蘭的持續活動證明了這一方法相當有效。

參考資源:

1.https://thehackernews.com/2023/11/russian-cyber-espionage-group-deploys.html

2.https://research.checkpoint.com/2023/malware-spotlight-into-the-trash-analyzing-litterdrifter/

蠕蟲病毒
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接