مجموعة تجسس روسية تنشر دودة USB LitterDrifter في هجمات الإلكترونية.

مجموعة تجسس روسية تنشر دودة USB LitterDrifter في هجمات الإلكترونية. رصدت جهات فاعلة في مجال التجسس الإلكتروني الروسي مرتبطة بالمخابرات الفيدرالية الروسية (FSB) باستخدام دودة USB تسمى LitterDrifter في هجمات تستهدف كيانات أوكرانية.

وصفت شركة Check Point. التي أوضحت أحدث أساليب Gamaredon (المعروف أيضًا باسم Aqua Blizzard و Iron Tilden و Primitive Bear و Shuckworm و Winterflounder). المجموعة بأنها تشارك في حملات واسعة النطاق يتبعها “جهود جمع البيانات تستهدف أهدافًا محددة. يرجح أن يكون اختيارها مدفوعًا بأهداف التجسس”.

تحتوي دودة LitterDrifter على ميزتين رئيسيتين: نشر البرنامج الضار تلقائيًا عبر محركات USB المتصلة. وكذلك التواصل مع خوادم الأمر والتحكم (C&C) الخاصة بالجهات الفاعلة في مجال التهديد. يشتبه أيضًا في أنه تطور لدودة USB المستندة إلى PowerShell والتي كشفت عنها Symantec سابقًا في يونيو 2023.

تمت كتابة وحدة النشر في VBS. وهي مسؤولة عن توزيع الدودة كملف مخفي في محرك USB جنبًا إلى جنب مع LNK وهمي يتم تعيين أسماء عشوائية له. حصل البرنامج الضار على اسم LitterDrifter بسبب حقيقة أن مكون الأوركسترا الأولي يسمى “trash.dll”.

“نهج Gamaredon تجاه C&C فريد من نوعه إلى حد ما. حيث يستخدم النطاقات كعلامة مكان لعناوين IP المتداولة التي يتم استخدامها بالفعل كخوادم C2”. أوضحت شركة Check Point.

تمكن LitterDrifter أيضًا من الاتصال بخادم C&C المستخرج من قناة Telegram. وهي تكتيك استخدمته مرارًا وتكرارًا منذ بداية العام على الأقل.

وقالت شركة الأمن الإلكتروني إنها اكتشفت أيضًا علامات على إصابة محتملة خارج أوكرانيا بناءً على إرساليات VirusTotal من الولايات المتحدة وفيتنام وتشيلي وبولندا وألمانيا وهونج كونج.

دودة USB LitterDrifter

كانت Gamaredon تتمتع بحضور نشط هذا العام، بينما تطور باستمرار أساليب هجومها. في يوليو 2023. ظهرت قدرات المهاجم السريعة لاستخراج البيانات. حيث قام الجهات الفاعلة في مجال التهديد بإرسال معلومات حساسة في غضون ساعة من الاختراق الأولي.

من الواضح أن LitterDrifter تم تصميمه لدعم عملية جمع واسعة النطاق. خلصت الشركة. “تستخدم تقنيات بسيطة، ولكنها فعالة لضمان أنها يمكن أن تصل إلى أوسع مجموعة ممكنة من الأهداف في المنطقة.”

تطورات أخرى

يأتي هذا التطور في الوقت الذي كشف فيه المركز الوطني للتنسيق الأمني الإلكتروني (NCSCC) في أوكرانيا عن هجمات شنها قراصنة روس مدعومون من الدولة تستهدف سفارات عبر أوروبا. بما في ذلك إيطاليا واليونان ورومانيا وأذربيجان.

كما تنسب الاختراقات التي نسبت إلى APT29 (المعروف أيضًا باسم BlueBravo و Cloaked Ursa و Cozy Bear و Iron Hemlock و Midnight Blizzard و The Dukes). إلى استغلال ثغرة WinRAR التي تم الكشف عنها مؤخرًا (CVE-2023-38831) عبر إغراءات تبدو جيدة وتزعم تقديم سيارات BMW للبيع، وهو موضوع استخدمته في الماضي.

بينما تبدأ سلسلة الهجمات بإرسال رسائل بريد إلكتروني تصيدية إلى الضحايا تحتوي على رابط إلى ملف ZIP مصمم خصيصًا. والذي عند تشغيله يستغل العيب لاسترداد نص PowerShell من خادم بعيد مستضاف على Ngrok.

وقال NCSCC: “إن الاتجاه المثير للقلق لاستغلال ثغرة CVE-2023-38831 من قبل مجموعات القرصنة الاستخباراتية الروسية يدل على تزايد شعبيتها وتطورها”.

من ناحية أخرى في وقت سابق من هذا الأسبوع، كشف فريق الاستجابة لحالات الطوارئ الحاسوبية في أوكرانيا (CERT-UA) عن حملة تصيد تروج لأرشيفات RAR ضارة تتنكر في شكل مستند PDF من جهاز الأمن الأوكراني.

مجموعة تجسس روسية تنشر دودة USB LitterDrifter في هجمات الإلكترونية. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة
يستخدم هذا الموقع ملفات تعريف الارتباط (الكوكيز) ليقدم لك تجربة تصفح أفضل. من خلال تصفح هذا الموقع ، فإنك توافق على استخدامنا لملفات تعريف الارتباط.