Close Menu
Український телекомунікаційний портал
    Facebook X (Twitter) Instagram Threads
    Український телекомунікаційний портал
    • Новини
    • Мобільна техніка
    • Технології
    • ПЗ
    • Наука
    • Транспорт
    • Дім
    • Обладнання
    • Здоров’я
    Facebook X (Twitter) YouTube Telegram
    Український телекомунікаційний портал
    Home»Новини»Кібербезпека»USB-шкідлива програма LittleDrifter від Gamaredon поширюється за межі України
    Кібербезпека

    USB-шкідлива програма LittleDrifter від Gamaredon поширюється за межі України

    ВолодимирBy Володимир21.11.2023Коментарів немає3 Mins Read
    Facebook Twitter Email Telegram Copy Link

    Нещодавно виявлений хробак, якого дослідники називають LittleDrifter, поширювався через USB-накопичувачі, заражаючи системи в багатьох країнах у рамках кампанії шпигунської групи Gamaredon, спонсорованої державою.

    Дослідники зловмисного програмного забезпечення помітили ознаки компрометації в США, Україні, Німеччині, В’єтнамі, Польщі, Чилі та Гонконзі, що свідчить про те, що група загроз втратила контроль над LittleDrifter, який досяг ненавмисних цілей. Згідно з дослідженнями Check Point, зловмисне програмне забезпечення написано на VBS і розроблено для розповсюдження через USB-накопичувачі як еволюція хробака Gamaredon USB PowerShell.

    Орієнтовний розкид LitterDrifter (Check Point)

    Gamaredon, також відомий як Shuckworm, Iron Tilden і Primitive Bear, — це група кібершпигунських загроз, пов’язана з Росією, яка протягом принаймні десятиліття переслідувала організації в Україні з багатьох секторів, включаючи уряд, оборону та критичну інфраструктуру. 

    Подробиці LitterDrifter

    Метою LitterDrifter є встановлення зв’язку з командно-контрольним сервером (C2) групи загроз та поширення на USB-накопичувачі. Для досягнення своєї мети зловмисне програмне забезпечення використовує два окремі модулі, які виконуються сильно затуманеним компонентом VBS trash.dll.

    Схема виконання LitterDrifter
    Схема виконання LitterDrifter (Check Point)

    LitterDrifter і всі його компоненти розміщені в каталозі користувача «Вибране» та забезпечують постійність, додаючи заплановані завдання та ключі реєстру.

    Модуль, відповідальний за поширення в інші системи, відстежує наявність щойно вставлених USB-накопичувачів і створює оманливі ярлики LNK разом із прихованою копією “trash.dll”.

    Зараження USB-накопичувачів
    Зараження USB-накопичувачів (Check Point)

    Зловмисне програмне забезпечення використовує інструмент керування Windows (WMI) для визначення цільових дисків і створює ярлики з випадковими іменами для виконання шкідливих сценаріїв.

    Код модуля розповсюджувача
    Код модуля розкидача (Check Point)

    Дослідники пояснюють, що Gamaredon використовує домени як заповнювачі для IP-адрес, де знаходяться сервери C2. З цієї точки зору група загроз має «досить унікальний» підхід.

    Перш ніж спробувати зв’язатися з сервером C2, шкідлива програма шукає файл конфігурації у тимчасовій папці. Якщо такий файл не існує, LittleDrifter перевіряє один із доменів Gamaredon за допомогою запиту WMI. Відповідь на запит містить IP-адресу домену, яка зберігається в новому конфігураційному файлі.

    Check Point зазначає, що всі домени, які використовує зловмисне програмне забезпечення, зареєстровані під «REGRU-RU» та використовують домен верхнього рівня «.ru», що відповідає попереднім звітам про діяльність Gamaredon. Типова тривалість життя кожної IP-адреси, яка діє як C2 в операціях LitterDrifter, становить близько 28 годин, але адреси можуть змінюватися кілька разів на день, щоб уникнути виявлення та блокування.

    C2 може надсилати додаткові корисні навантаження, які LitterDrifter намагається декодувати та виконати в скомпрометованій системі. CheckPoint уточнює, що в більшості випадків додаткові корисні навантаження не завантажувалися, що може свідчити про те, що атаки є дуже цілеспрямованими. Як резервний варіант, зловмисне програмне забезпечення також може отримати IP-адресу C2 з каналу Telegram.

    LitterDrifter, ймовірно, є частиною першого етапу атаки, намагаючись встановити постійність у скомпрометованій системі та чекаючи, поки C2 доставить нові корисні навантаження, які сприятимуть атаці. Зловмисне програмне забезпечення характеризується простотою і не покладається на нові методи, але видається ефективним.

    Звіт Check Point містить хеші для майже двох десятків зразків LittleDrifter, а також доменів, пов’язаних з інфраструктурою Gamaredon. Джерело

    Читайте також

    Злом Bitcoin Depot розкрив дані майже 27 000 користувачів криптовалюти

    10.07.2025

    З початку 2025 року криптовалютні зломи завдали збитків на $2,1 млрд

    02.07.2025

    Міжнародний кримінальний суд постраждав від нової «складної» кібератаки

    01.07.2025

    Нове

    Європа створює гіперзвуковий літак Invictus

    16.07.2025

    Вчені відкрили нове «магічне число», що може змінити ядерну фізику

    16.07.2025

    Як безкоштовно отримати ще рік оновлень для Windows 10

    16.07.2025

    Перше зображення Samsung Galaxy Tab S11 Ultra показує менше виріз на дисплеї

    16.07.2025
    Facebook X (Twitter) YouTube Telegram
    • Контакти/Contacts
    © 2025 Portaltele.com.ua. Усі права захищено. Копіювання матеріалів дозволено лише з активним гіперпосиланням на джерело.

    Type above and press Enter to search. Press Esc to cancel.

    Go to mobile version