Нещодавно виявлений хробак, якого дослідники називають LittleDrifter, поширювався через USB-накопичувачі, заражаючи системи в багатьох країнах у рамках кампанії шпигунської групи Gamaredon, спонсорованої державою.
Дослідники зловмисного програмного забезпечення помітили ознаки компрометації в США, Україні, Німеччині, В’єтнамі, Польщі, Чилі та Гонконзі, що свідчить про те, що група загроз втратила контроль над LittleDrifter, який досяг ненавмисних цілей. Згідно з дослідженнями Check Point, зловмисне програмне забезпечення написано на VBS і розроблено для розповсюдження через USB-накопичувачі як еволюція хробака Gamaredon USB PowerShell.
Gamaredon, також відомий як Shuckworm, Iron Tilden і Primitive Bear, — це група кібершпигунських загроз, пов’язана з Росією, яка протягом принаймні десятиліття переслідувала організації в Україні з багатьох секторів, включаючи уряд, оборону та критичну інфраструктуру.
Подробиці LitterDrifter
Метою LitterDrifter є встановлення зв’язку з командно-контрольним сервером (C2) групи загроз та поширення на USB-накопичувачі. Для досягнення своєї мети зловмисне програмне забезпечення використовує два окремі модулі, які виконуються сильно затуманеним компонентом VBS trash.dll.
LitterDrifter і всі його компоненти розміщені в каталозі користувача «Вибране» та забезпечують постійність, додаючи заплановані завдання та ключі реєстру.
Модуль, відповідальний за поширення в інші системи, відстежує наявність щойно вставлених USB-накопичувачів і створює оманливі ярлики LNK разом із прихованою копією “trash.dll”.
Зловмисне програмне забезпечення використовує інструмент керування Windows (WMI) для визначення цільових дисків і створює ярлики з випадковими іменами для виконання шкідливих сценаріїв.
Дослідники пояснюють, що Gamaredon використовує домени як заповнювачі для IP-адрес, де знаходяться сервери C2. З цієї точки зору група загроз має «досить унікальний» підхід.
Перш ніж спробувати зв’язатися з сервером C2, шкідлива програма шукає файл конфігурації у тимчасовій папці. Якщо такий файл не існує, LittleDrifter перевіряє один із доменів Gamaredon за допомогою запиту WMI. Відповідь на запит містить IP-адресу домену, яка зберігається в новому конфігураційному файлі.
Check Point зазначає, що всі домени, які використовує зловмисне програмне забезпечення, зареєстровані під «REGRU-RU» та використовують домен верхнього рівня «.ru», що відповідає попереднім звітам про діяльність Gamaredon. Типова тривалість життя кожної IP-адреси, яка діє як C2 в операціях LitterDrifter, становить близько 28 годин, але адреси можуть змінюватися кілька разів на день, щоб уникнути виявлення та блокування.
C2 може надсилати додаткові корисні навантаження, які LitterDrifter намагається декодувати та виконати в скомпрометованій системі. CheckPoint уточнює, що в більшості випадків додаткові корисні навантаження не завантажувалися, що може свідчити про те, що атаки є дуже цілеспрямованими. Як резервний варіант, зловмисне програмне забезпечення також може отримати IP-адресу C2 з каналу Telegram.
LitterDrifter, ймовірно, є частиною першого етапу атаки, намагаючись встановити постійність у скомпрометованій системі та чекаючи, поки C2 доставить нові корисні навантаження, які сприятимуть атаці. Зловмисне програмне забезпечення характеризується простотою і не покладається на нові методи, але видається ефективним.
Звіт Check Point містить хеші для майже двох десятків зразків LittleDrifter, а також доменів, пов’язаних з інфраструктурою Gamaredon. Джерело