"LitterDrifter" solucanı, yaratıcıları tarafından kasıtlı olarak hedef alınmayan bilgisayarlara bulaşıyor.
USB solucanları geleneksel olarak bulabildikleri herhangi bir çıkarılabilir depolama cihazına atlayarak bulabildikleri her yere yayılacak şekilde tasarlanmıştır. Siber casusluk ve siber savaş devreye girdiğinde, bu yayılma yeteneği, kötü amaçlı yazılımın orijinal amacına aykırı çalışabilir.
Check Point Research kısa süre önce, Rusya Federal Güvenlik Servisi (FSB) ile çalışan tanınmış bir grup olan Gamaredon tarafından oluşturulan, görünüşte "daha basit" bir kötü amaçlı yazılım olan, USB yayma yeteneklerine sahip yeni bir solucan keşfetti ve analiz etti. Primitive Bear, ACTINIUM ve Shuckworm olarak da bilinen Gamerdon, neredeyse yalnızca Ukrayna hedeflerinden taviz vermeyi amaçlayan Rus casusluk ekosisteminin sıra dışı bir oyuncusudur.
Check Point, diğer Rus siber casusluk ekiplerinin varlıklarını ellerinden geldiğince gizlemeyi tercih ederken, Gamaredon'un bölgesel hedeflere odaklanmaya devam ederken geniş çaplı kampanyalarıyla tanındığını söyledi. Grubun yakın zamanda keşfedilen solucanı LitterDrifter , Gamaredon'un olağan davranışına sadık kalıyor gibi görünüyor çünkü muhtemelen orijinal hedeflerinin çok ötesine geçmiş durumda.
LitterDrifter, çok kötü niyetli VBScript dilinde (VBS) yazılmış ve iki ana işlevi olan bir solucandır : USB flash sürücüler üzerinde "otomatik" yayılma ve yaratıcıların komuta ve kontrol (C2) sunucularından gelen uzaktan emirleri dinleme. Check Point araştırmacıları, kötü amaçlı yazılımın Gamaredon'un USB yayılımına yönelik önceki çabalarının bir evrimi gibi göründüğünü açıkladı.
LitterDrifter, hedeflerine ulaşmak için, trash.dll kütüphanesinde bulunan "ağır şekilde şifrelenmiş" bir orkestratör VBS bileşeni tarafından yürütülen iki ayrı modül kullanır. Solucan, yeni zamanlanmış görevler ve Kayıt defteri anahtarları ekleyerek, USB hedeflerini belirlemek ve rastgele adlarla kısayollar oluşturmak için Windows Yönetim Araçları (WMI) çerçevesinden yararlanarak Windows sistemlerinde kalıcılık sağlamaya çalışıyor.
Solucan, flash sürücü sisteme bağlanır bağlanmaz bir USB hedefine bulaşmaya çalışıyor. Enfeksiyonun ardından LitterDrifter, genellikle 28 saat kadar süren dinamik IP adreslerinden oluşan bir ağ arkasına gizlenmiş bir C2 sunucusuyla iletişim kurmaya çalışıyor. Bağlantı kurulduktan sonra LitterDrifter ek bileşenler indirebilir, kodunu çözebilir ve son olarak bunları tehlikeye atılmış bir sistemde çalıştırabilir.
Check Point Research, analiz işi sırasında başka veri indirilmediğini söyledi; bu da LitterDrifter'ın muhtemelen daha karmaşık ve devam eden bir saldırının ilk aşaması olduğu anlamına geliyor. LitterDrifter enfeksiyonlarının çoğunluğu Ukrayna'da keşfedildi, ancak solucan aynı zamanda ABD, Almanya, Vietnam, Şili ve Polonya'da bulunan bilgisayarlarda da tespit edildi. Gamaredon muhtemelen solucanının kontrolünü kaybetti ve solucan, tam saldırı gerçekleştirilmeden önce istenmeyen hedeflere yayıldı.
Kaynak:
https://www.techspot.com/news/100941-ru ... rgets.html
