据观察，隶属于联邦安全局 (FSB) 的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为LitterDrifter的 USB 蠕虫。

以色列安全公司Check Point详细介绍了Gamaredon（又名 Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm 和 Winterflounder）的最新战术，称该组织从事大规模活动，随后“针对特定目标进行数据收集工作，其选择很可能是出于间谍目的。”

技术报告URL:https://research.checkpoint.com/2023/malware-spotlight-into-the-trash-analyzing-litterdrifter/

LitterDrifter 蠕虫病毒包具有两个主要功能：通过连接的 USB 驱动器自动传播恶意软件以及与攻击者的命令和控制 (C&C) 服务器进行通信。它还被怀疑是赛门铁克于 2023 年 6 月披露的基于 PowerShell 的 USB 蠕虫的演变。

传播器模块用 VBS 编写，负责将蠕虫作为 USB 驱动器中的隐藏文件以及分配了随机名称的诱饵 LNK 进行分发。该恶意软件因其初始编排组件名为“trash.dll”而得名 LitterDrifter。

Check Point 解释说：“Gamaredon 的 C&C 方法相当独特，因为它利用域名作为实际用作 C2 服务器的循环 IP 地址的占位符。”

LitterDrifter 还能够连接到从 Telegram 频道提取的 C&C 服务器，这是至少从今年年初以来它反复使用的策略。

该网络安全公司表示，根据来自美国、越南、智利、波兰、德国和香港的 VirusTotal 提交的信息，它还发现了乌克兰境外可能受到感染的迹象。

Gamaredon 今年表现活跃，同时不断改进其攻击方法。2023 年 7 月，对手的快速数据泄露能力曝光，威胁行为者在最初入侵后一小时内传输敏感信息。

“很明显，LitterDrifter 的设计目的是支持大规模情报收集业务。”该公司总结道。“它利用简单而有效的技术来确保它能够实现该地区最广泛的目标。”

这一事态发展正值乌克兰国家网络安全协调中心（NCSCC）透露俄罗斯国家支持的黑客针对欧洲各地大使馆（包括意大利、希腊、罗马尼亚和阿塞拜疆）策划的攻击。

这些入侵归因于APT29（又名 BlueBravo、Cloaked Ursa、Cozy Bear、Iron Hemlock、Midnight Blizzard 和 The Dukes），涉及通过看似良性的诱饵来利用最近披露的 WinRAR 漏洞 ( CVE-2023-38831 )出售宝马汽车，这是它过去采用的主题。

攻击链首先向受害者发送网络钓鱼电子邮件，其中包含指向特制 ZIP 文件的链接，该文件启动后会利用该缺陷从 Ngrok 上托管的远程服务器检索 PowerShell 脚本。

NCSCC 表示：“俄罗斯黑客组织利用 CVE-2023-38831 漏洞的趋势令人担忧，这表明该漏洞日益流行且复杂。”

本周早些时候，乌克兰计算机紧急响应小组 (CERT-UA)发现了一场网络钓鱼活动，该活动传播恶意 RAR 档案，这些档案伪装成来自乌克兰安全局 (SBU) 的 PDF 文档，但实际上是一个可执行文件，可导致部署 Remcos RAT。

CERT-UA 正在追踪名为 UAC-0050 的活动，该活动也与 2023 年 2 月针对该国国家当局交付 Remcos RAT 的另一轮网络攻击有关。

---

转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zU-9AFRM0lhJrh9ea46GSw

封面来源于网络，如有侵权请联系删除