Grup Spionase Cyber ​​Rusia Sebarkan Worm USB LitterDrifter

The Hacker News

Cyberthreat.id - Aktor spionase dunia maya Rusia yang berafiliasi dengan Federal Security Service (FSB) diamati menggunakan worm yang menyebarkan USB yang disebut LitterDrifter dalam serangan yang menargetkan entitas Ukraina.

The Hacker News menuliskan bahwa Check Point, yang merinci taktik terbaru Gamaredon (alias Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm, dan Winterflounder), mencap kelompok tersebut terlibat kampanye skala besar yang diikuti "upaya pengumpulan data yang ditujukan pada target tertentu, yang pemilihannya kemungkinan besar dimotivasi oleh tujuan spionase."

Worm LitterDrifter dikemas dalam dua fitur utama: secara otomatis menyebarkan malware melalui drive USB yang terhubung serta berkomunikasi dengan server command-and-control (C&C) pelaku ancaman.

Ini juga diduga merupakan evolusi dari worm USB berbasis PowerShell yang sebelumnya diungkapkan oleh Symantec pada Juni 2023.

Ditulis dalam VBS, modul penyebar bertanggung jawab untuk mendistribusikan worm sebagai file tersembunyi di drive USB bersama dengan LNK umpan yang diberi nama acak.

Malware ini mendapatkan namanya LitterDrifter karena komponen orkestrasi awalnya diberi nama "trash.dll."

“Pendekatan Gamaredon terhadap C&C agak unik, karena menggunakan domain sebagai pengganti alamat IP yang beredar dan sebenarnya digunakan sebagai server C2,” kata Check Point sebagaimana dikutip The Hacker News.

LitterDrifter juga mampu terhubung ke server C&C yang diambil dari saluran Telegram, sebuah taktik yang telah berulang kali digunakan setidaknya sejak awal tahun ini.

Perusahaan keamanan siber tersebut mengatakan pihaknya juga mendeteksi tanda-tanda kemungkinan infeksi di luar Ukraina berdasarkan kiriman VirusTotal dari AS, Vietnam, Chili, Polandia, Jerman, dan Hong Kong.

Gamaredon hadir secara aktif tahun ini, sambil terus mengembangkan metode serangannya.

Pada bulan Juli 2023, kemampuan eksfiltrasi data yang cepat dari musuh terungkap, dimana pelaku ancaman mengirimkan informasi sensitif dalam waktu satu jam setelah penyusupan awal.

“Jelas bahwa LitterDrifter dirancang untuk mendukung operasi pengumpulan skala besar,” simpul perusahaan tersebut.

“Ini memanfaatkan teknik sederhana namun efektif untuk memastikan dapat mencapai target seluas mungkin di kawasan ini.”

Perkembangan ini terjadi ketika Ukraine's National Cybersecurity Coordination Center (NCSCC) Ukraina mengungkapkan serangan yang diatur oleh peretas yang disponsori negara Rusia yang menargetkan kedutaan besar di seluruh Eropa, termasuk Italia, Yunani, Rumania, dan Azerbaijan.

Intrusi, yang dikaitkan dengan APT29 (alias BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard, dan The Dukes), melibatkan eksploitasi kerentanan WinRAR yang baru-baru ini diungkapkan (CVE-2023-38831) melalui umpan yang tampak tidak berbahaya yang mengklaim untuk menawarkan BMW untuk dijual, sebuah tema yang telah digunakan di masa lalu.

Rantai serangan dimulai dengan mengirimkan email phishing kepada korban yang berisi tautan ke file ZIP yang dibuat khusus yang, ketika diluncurkan, mengeksploitasi kelemahan tersebut untuk mengambil skrip PowerShell dari server jarak jauh yang dihosting di Ngrok.

“Tren yang mengkhawatirkan dalam mengeksploitasi kerentanan CVE-2023-38831 oleh kelompok peretas badan intelijen Rusia menunjukkan semakin populernya dan kecanggihannya,” kata NCSCC.

Awal pekan ini, tulis The Hacker News, Computer Emergency Response Team of Ukraine (CERT-UA) menemukan kampanye phishing yang menyebarkan arsip RAR berbahaya yang menyamar sebagai dokumen PDF dari Security Service of Ukraine (SBU), namun pada kenyataannya, merupakan dokumen yang dapat dieksekusi yang mengarah ke untuk penerapan Remcos RAT.

CERT-UA melacak aktivitas tersebut dengan nama UAC-0050, yang juga dikaitkan dengan serangkaian serangan siber lainnya yang ditujukan kepada otoritas negara di negara tersebut untuk mengirimkan Remcos RAT pada Februari 2023.[]