俄罗斯黑客针对乌克兰投放 LitterDrifter USB传播蠕虫病毒

最近的网络安全观察中，隶属于联邦安全局 (FSB) 的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为 LitterDrifter 的 USB 传播蠕虫病毒。

安全研究人员详细介绍了Gamaredon（又名 Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm 和 Winterflounder）的最新战术，称该组织从事大规模活动，随后针对特定目标进行数据收集工作，其选择很可能是出于间谍目的。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，LitterDrifter 蠕虫病毒包具有两个主要功能：通过连接的 USB 驱动器自动传播恶意软件以及与威胁参与者的C2 (C&C命令和控制) 服务器进行通信。它还被怀疑是赛门铁克于 2023 年 6 月披露的基于 PowerShell 的 USB 蠕虫的变种。

传播器模块用 VBS 编写，负责将蠕虫作为 USB 驱动器中的隐藏文件以及分配了随机名称的诱饵 LNK 进行分发。该恶意软件因其初始编排组件名为“trash.dll”而得名 LitterDrifter。

Gamaredon 的 C&C 方法相当独特，因为它利用域名作为实际用作 C2 服务器的循环 IP 地址的占位符。LitterDrifter 还能够连接到从 Telegram 频道提取的 C&C 服务器，这是威胁行为者至少从今年年初以来反复 使用的策略。

Gamaredon 今年表现活跃，同时不断改进其攻击方法。2023 年 7 月，对手的快速数据泄露能力曝光，威胁行为者在最初入侵后一小时内传输敏感信息。

很明显，LitterDrifter 的设计目的是支持大规模收集业务，它利用简单而有效的技术来确保它能够实现该地区最广泛的目标。

这一事态发展正值乌克兰国家网络安全协调中心（NCSCC）透露俄罗斯国家支持的黑客针对欧洲各地大使馆（包括意大利、希腊、罗马尼亚和阿塞拜疆）策划的攻击。

这些入侵归因于APT29（又名 BlueBravo、Cloaked Ursa、Cozy Bear、Iron Hemlock、Midnight Blizzard 和 The Dukes），涉及通过看似良性的诱饵来利用最近披露的 WinRAR 漏洞 ( CVE-2023-38831 )出售宝马汽车。攻击链首先向受害者发送网络钓鱼电子邮件，其中包含指向特制 ZIP 文件的链接，该文件启动后会利用该缺陷从 Ngrok 上托管的远程服务器检索 PowerShell 脚本。

本周早些时候，乌克兰计算机紧急响应小组 (CERT-UA)发现了一场网络钓鱼活动，该活动传播恶意 RAR 档案，其中包含据称来自乌克兰安全局 (SBU) 的 PDF 文档，但实际上是一个可执行文件，会导致Remcos RAT 的部署。