Il gruppo di cyber spionaggio russo Gamaredon, affiliato al Servizio Federale di Sicurezza (FSB) della Russia, è stato osservato mentre utilizza un worm chiamato LitterDrifter, che si propaga tramite dispositivi USB, in attacchi mirati a entità ucraine. Questa tattica segna un’evoluzione nelle metodologie di attacco del gruppo, noto per le sue campagne su larga scala seguite da sforzi di raccolta dati mirati a obiettivi specifici, probabilmente motivati da obiettivi di spionaggio.
LitterDrifter: worm USB con capacità avanzate
Il worm LitterDrifter si distingue per due caratteristiche principali: la diffusione automatica del malware tramite unità USB collegate e la comunicazione con i server di comando e controllo (C&C) dell’attore della minaccia. Si sospetta che sia un’evoluzione di un worm USB basato su PowerShell precedentemente divulgato da Symantec nel giugno 2023. Scritto in VBS, il modulo di diffusione è responsabile della distribuzione del worm come file nascosto in un’unità USB insieme a un collegamento LNK ingannevole assegnato a nomi casuali.
Tecniche uniche e impatto globale di Gamaredon
L’approccio di Gamaredon verso i server C&C è piuttosto unico, poiché utilizza domini come segnaposto per gli indirizzi IP circolanti effettivamente utilizzati come server C2. LitterDrifter è anche in grado di connettersi a un server C&C estratto da un canale Telegram, una tattica che ha ripetutamente utilizzato dall’inizio dell’anno. La società di cybersecurity ha rilevato segni di possibili infezioni al di fuori dell’Ucraina, con sottomissioni a VirusTotal dagli Stati Uniti, Vietnam, Cile, Polonia, Germania e Hong Kong.
L’evoluzione continua di Gamaredon e le sue capacità di esfiltrazione rapida
Gamaredon ha avuto una presenza attiva quest’anno, evolvendo continuamente i suoi metodi di attacco. Nel luglio 2023, le capacità di esfiltrazione rapida dei dati dell’avversario sono venute alla luce, con il trasferimento di informazioni sensibili entro un’ora dal compromesso iniziale. “È chiaro che il worm LitterDrifter è stato progettato per supportare un’operazione di raccolta su larga scala e Gamaredon ne è parte attiva”, ha concluso l’azienda. “Sfrutta tecniche semplici, ma efficaci per raggiungere il più ampio set possibile di obiettivi nella regione.”