Rus Siber Casusluk Grubu, Hedefli Saldırılarda LitterDrifter USB Solucanını Kullanıyor - Dünyadan Güncel Teknoloji Haberleri

Rus Siber Casusluk Grubu, Hedefli Saldırılarda LitterDrifter USB Solucanını Kullanıyor - Dünyadan Güncel Teknoloji Haberleri


18 Kasım 2023Haber odasıSiber Saldırı / USB Solucanı

Federal Güvenlik Servisi’ne (FSB) bağlı Rus siber casusluk aktörlerinin, USB yayılan bir solucan kullandığı gözlemlendi

CERT-UA, Şubat 2023’te Remcos RAT teslim etmek üzere ülkedeki devlet yetkililerine yönelik bir başka siber saldırı dalgasıyla da bağlantılı olan UAC-0050 adı altındaki faaliyeti izliyor hedefler

Gamaredon, saldırı yöntemlerini sürekli olarak geliştirirken bu yıl da aktif bir varlık gösterdi Çöp Drifter Ukrayna varlıklarını hedef alan saldırılarda

APT29’a (diğer adıyla BlueBravo, Cloaked Ursa, Cosy Bear, Iron Baldıran, Midnight Blizzard ve The Dukes) atfedilen izinsiz girişler, yakın zamanda açıklanan WinRAR güvenlik açığının (CVE-2023-38831) zararsız görünümlü yemler aracılığıyla istismar edilmesini içeriyor Ayrıca bunun, daha önce Haziran 2023’te Symantec tarafından açıklanan PowerShell tabanlı bir USB solucanının evrimi olduğundan da şüpheleniliyor

Check Point, “Gamaredon’un C&C’ye yönelik yaklaşımı oldukça benzersizdir, çünkü alanları aslında C2 sunucuları olarak kullanılan dolaşımdaki IP adresleri için yer tutucu olarak kullanır,” diye açıkladı

Bu haftanın başında Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) ortaya çıkarıldı Ukrayna Güvenlik Servisi’nden (SBU) alınmış bir PDF belgesi gibi görünen kötü amaçlı RAR arşivlerini yayan, ancak gerçekte Remcos RAT’ın dağıtımına yol açan yürütülebilir bir dosya olan bir kimlik avı kampanyası ”

Gelişme Ukrayna’nın Ulusal Siber Güvenlik Koordinasyon Merkezi (NCSCC) olarak geliyor açıklığa kavuşmuş Rus devleti destekli bilgisayar korsanları tarafından İtalya, Yunanistan, Romanya ve Azerbaycan da dahil olmak üzere Avrupa çapındaki büyükelçiliklere yönelik saldırılar düzenlendi

LitterDrifter aynı zamanda bir Telegram kanalından alınan bir C&C sunucusuna da bağlanabiliyor; bu, en azından yılın başından bu yana defalarca uygulamaya konulan bir taktik

NCSCC, “Rus istihbarat servislerinin bilgisayar korsanlığı grupları tarafından CVE-2023-38831 güvenlik açığından yararlanma yönündeki endişe verici eğilim, bu güvenlik açığının artan popülerliğini ve karmaşıklığını gösteriyor “Bölgedeki mümkün olan en geniş hedeflere ulaşabilmek için basit ama etkili tekniklerden yararlanıyor dll” olarak adlandırılması nedeniyle LitterDrifter adını alıyor

VBS’de yazılan yayıcı modül, solucanı, rastgele adlar atanan bir tuzak LNK ile birlikte bir USB sürücüde gizli bir dosya olarak dağıtmaktan sorumludur Temmuz 2023’te, saldırganın hızlı veri sızdırma yetenekleri gün yüzüne çıktı; tehdit aktörü, hassas bilgileri ilk güvenlik ihlalinden sonraki bir saat içinde aktardı Kötü amaçlı yazılım, ilk düzenleme bileşeninin “trash ”

LitterDrifter solucanı iki ana özelliğe sahiptir: kötü amaçlı yazılımı bağlı USB sürücüler aracılığıyla otomatik olarak yaymanın yanı sıra tehdit aktörünün komuta ve kontrol (C&C) sunucularıyla iletişim kurma

Kontrol Noktası, detaylı Gamaredon’un (diğer adıyla Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm ve Winterflounder) en son taktikleri, grubun büyük ölçekli kampanyalara giriştiğini ve bunu “belirli hedeflere yönelik veri toplama çabalarının takip ettiği ve bunların seçiminin muhtemelen casusluk motivasyonuyla yapıldığı” olarak damgaladı ” dedi

Saldırı zinciri, kurbanlara, başlatıldığında Ngrok’ta barındırılan uzak bir sunucudan bir PowerShell betiğini almak için kusurdan yararlanan özel hazırlanmış bir ZIP dosyasına bağlantı içeren kimlik avı e-postaları göndermekle başlıyor Geçmişte uyguladığı bir tema olan BMW’leri satışa sunmak

Siber güvenlik firması ayrıca ABD, Vietnam, Şili, Polonya, Almanya ve Hong Kong’dan gelen VirusTotal gönderimlerine dayanarak Ukrayna dışında da olası enfeksiyon belirtileri tespit ettiğini söyledi

Şirket, “LitterDrifter’ın büyük ölçekli bir toplama operasyonunu desteklemek için tasarlandığı açık” dedi



siber-2