Русские хакеры используют USB-червя LitterDrifter

Вступить в наш чат

В этой статье расскажем, как русские хакеры были замечены в использовании USB-червя под названием LitterDrifter в атаках, направленных на украинские организации.

Что произошло

Check Point, в котором подробно описаны новейшие тактики Гамаредона (также известные как Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm и Winterflounder), заклеймил группировку как участвующую в крупномасштабных кампаниях, за которыми следуют «усилия по сбору данных, направленные на конкретные цели, выбор которых вероятно, мотивировано шпионскими целями».

Особенности взлома

Червь LitterDrifter обладает двумя основными функциями: автоматическое распространение вредоносного ПО через подключенные USB-накопители, а также взаимодействие с серверами управления и контроля (C&C) злоумышленника. Также предполагается, что это развитие USB-червя на базе PowerShell, который ранее был раскрыт Symantec в июне 2023 года.

Модуль распространения, написанный на VBS, отвечает за распространение червя в виде скрытого файла на USB-накопителе вместе с ложным LNK, которому присвоены случайные имена.

«Подход Gamaredon к C&C довольно уникален, поскольку он использует домены в качестве заполнителя для циркулирующих IP-адресов, фактически используемых в качестве серверов C2», — пояснили в Check Point.

LitterDrifter также способен подключаться к командному серверу, полученному из канала Telegram. Эту тактику злоумышленник неоднократно использовал, по крайней мере, с начала года.

Фирма по кибербезопасности заявила, что она также обнаружила признаки возможного заражения за пределами Украины на основе материалов VirusTotal из США, Вьетнама, Чили, Польши, Германии и Гонконга.