Araştırmacıların Littledrifter olarak adlandırdığı yakın zamanda keşfedilen bir solucan, Gamaredon State destekli casusluk grubunun bir kampanyasının bir parçası olarak birden fazla ülkeye enfekte edici sistemler üzerine yayılıyor.
Kötü amaçlı yazılım araştırmacıları, ABD, Ukrayna, Almanya, Vietnam, Polonya, Şili ve Hong Kong'da uzlaşma belirtileri gördü, bu da tehdit grubunun istenmeyen hedeflere ulaşan Littledrifter'ın kontrolünü kaybettiğini gösteriyor.
Check Point'ten yapılan araştırmaya göre, kötü amaçlı yazılım VBS'de yazılmıştır ve Gamaredon'un USB PowerShell solucusunun bir evrimi olarak USB sürücüleri aracılığıyla yayılmak üzere tasarlanmıştır.
Shuckworm, Iron Tilden ve İlkel Bear olarak da bilinen Gamaredon, Rusça ile ilişkili bir siber casusluk tehdidi grubudur ve en az on yıl boyunca Ukrayna'da hükümet, savunma ve kritik altyapı da dahil olmak üzere birden fazla sektörden organizasyonları hedefliyor.
LitterDrifter'ın amacı, tehdit grubunun komuta ve kontrol (C2) sunucusuyla iletişim kurmak ve USB sürücülerine yayılmaktır.
Hedefine ulaşmak için, kötü amaçlı yazılım, yoğun bir şekilde gizlenmiş VBS bileşeni trach.dll tarafından yürütülen iki ayrı modül kullanır.
Litterdrifter ve tüm bileşenleri kullanıcının "favorileri" dizininde yuva yapar ve planlı görevler ve kayıt defteri anahtarları ekleyerek kalıcılık oluşturur.
Yeni eklenen USB sürücüleri için diğer sistemlere yayılmasından sorumlu modül, "çöp.dll" nin gizli bir kopyasıyla birlikte aldatıcı LNK kısayolları oluşturur.
Kötü amaçlı yazılım, hedef sürücüleri tanımlamak için Windows Management Enstrümantasyon (WMI) yönetim çerçevesini kullanır ve kötü amaçlı komut dosyalarını yürütmek için rastgele adlarla kısayollar oluşturur.
Araştırmacılar, Gamaredon'un C2 sunucularının bulunduğu IP adresleri için alan adlarını yer tutucu olarak kullandığını açıklıyor. Bu perspektiften, tehdit grubunun "oldukça benzersiz" bir yaklaşımı vardır.
C2 sunucusuyla iletişim kurmaya çalışmadan önce, kötü amaçlı yazılım bir yapılandırma dosyası için geçici klasöre bakar. Böyle bir dosya yoksa, Littledrifter bir WMI sorgusu kullanarak Gamaredon'un alanlarından birine ping atar.
Sorguya yanıt, yeni bir yapılandırma dosyasına kaydedilen etki alanının IP adresini içerir.
Kötü Yazılım tarafından kullanılan tüm alan adlarının 'Regru-Ru' altında kaydedildiğini ve Gamaredon etkinliği hakkındaki geçmiş raporlarla tutarlı olan '.ru' üst düzey etki alanını kullandığını kontrol et.
Litterdrifter işlemlerinde bir C2 görevi gören her IP adresinin tipik ömrü yaklaşık 28 saattir, ancak adresler algılama ve engellemeden kaçınmak için günde birkaç kez değişebilir.
C2, Litterdrifter'ın tehlikeye atılan sistemde kod çözmeye ve yürütmeye çalıştığı ek yükler gönderebilir. Checkpoint, çoğu durumda ek yükün indirilmediğini açıklar, bu da saldırıların yüksek hedeflendiğini gösterebilir.
Bir yedekleme seçeneği olarak, kötü amaçlı yazılım bir telgraf kanalından C2 IP adresini de alabilir.
Litterdrifter muhtemelen bir saldırının ilk aşamasının bir parçasıdır, tehlikeye atılan sistemde kalıcılık oluşturmaya çalışır ve C2'nin saldırıyı daha da ileriye taşıyacak yeni yükler sunmasını bekler.
Kötü amaçlı yazılım basitlik ile karakterizedir ve yeni tekniklere dayanmaz, ancak etkili görünmektedir.
Check Point'in raporu, Gamaredon'un altyapısıyla ilişkili alanların yanı sıra neredeyse iki düzine littledrifter örneği için karmalar sağlar.
Govt Cihazlarında Kanada Bans WeChat ve Kaspersky ürünleri
Avrupa Govt E-posta Sunucuları Roundcube Zero-Day Kullanarak Hacklendi
Bilgisayar korsanları arka kapı Rusya Devleti, veri hırsızlığı için endüstriyel kuruluşlar
Govt Systems'taki Güvenli USB sürücülerinden yeni Tetrisphantom Hacker'ları veri çalın
Romcom kötü amaçlı kimlik avı hedeflenen kadın siyasi liderler zirvesi
Kaynak: Bleeping Computer