Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Rosyjski malware, roznoszący się pendrajwami a używany bojowo głównie na Ukrainie, zlokalizowany również w Polsce

22 listopada 2023, 11:15 | W biegu | komentarzy 14

Checkpoint donosi o nowych osiągnięciach ~rosyjskiej grupy APT – Gamaredon. Dokładniej chodzi o malware LitterDrifter o którym czytamy co następuje:

Robak LitterDrifter jest napisany w języku VBS i ma dwie główne funkcje: automatyczne rozprzestrzenianie się na dyskach USB oraz komunikację z szerokim, elastycznym zestawem serwerów C&C. (…). LitterDrifter wydaje się być ewolucją wcześniej raportowanej aktywności, łączącej grupę Gamaredon z rozprzestrzeniającym się robakiem USB Powershell.

The LitterDrifter worm is written in VBS and has two main functionalities: automatic spreading over USB drives, and communication with a broad, flexible set of command-and-control servers. These features are implemented in a manner that aligns with the group’s goals, effectively maintaining a persistent command and control (C2) channel across a wide array of targets. LitterDrifter seems to be an evolution of a previously reported activity tying Gamaredon group to a propagating USB Powershell worm.

Checkpoint wskazuje, że malware mógł się nieco wymknąć spod kontroli, bo najpewniej głównym celem była Ukraina, jednak zgłoszenia tego „syfka” (na Virustotal) zaczęły pojawiać się z innych krajów, również z Polski:

Na pocieszenie – malware nie uruchamia się automatycznie w jakiś magiczny sposób z pendrive, ale korzysta z podpuchy – np. takiej jak na zrzucie poniżej (kto by nie chciał poznać czyjegoś hasła do Twittera ;)

W cytowanym raporcie dostępna jest też duża liczba szczegółów technicznych dotyczących całego malware. Nieco może dziwić fakt, że w dość prosty sposób udało się namierzyć infrastrukturę serwerową tego malware – która hostowana jest w całości w Rosji i do tego w domenie .ru.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Można gdzieś zdobyć próbke do analizy?

    Odpowiedz
    • Michał

      Never mind, znalazłem ioc

      Odpowiedz
  2. Holdmybeerandwatch

    No ciekawe podejście autora, kto nie chciałby poznać czyjegoś hasła do Twittera? Na przykład ja i każdy inny kto szanuje czyjąś prywatność. Każdy ma prawo coś zgubić, np pendrive’a. Swego czasu miałem dostęp do wielu loginów, haseł i innych wrażliwych danych i nigdy mnie nawet nie korciło żeby je przeglądać. Jak ktoś ma w 4 literach poszanowanie prywatności innych to bardzo dobrze, niech mu walą wirusów ile popadnie. Ciekawe czy wśród zgłoszeń z Polski był autor artykułu 😁😁😁

    Odpowiedz
    • Miki

      Ale widziales „;)” na końcu zdania, prawda..?

      Odpowiedz
    • Anon

      A emotkę na końcu zdania ogarnąłeś? Sam nimi nawalasz, a ich nie rozumiesz :v

      Odpowiedz
    • Piotr

      A jeśli taka ciekawska osoba operuje na Twoich danych osobowych bo akurat pracuje w urzędzie?

      Tak czy inaczej doceniam postawę. Mam takie same zasady.

      Odpowiedz
      • NieLubieBankow

        Swego czasu poszedlem do banku podpytac o koszty obslugi konta i ewentualne lokaty. Postanowilem zalozyc tam konto. Po ok godzinie od wizyty w banku dostalem sms ze ktos mnie sprawdzal w krajowym rejestrze dluznikow. Zadzwonilem na infolinie gdzie dowiedzialem sie ze nie ma takiej koniecznosci przy tworzeniu konta. Ciekawska „baba z okienka” chciala sobie mnie sprawdzic. Wrocilem tam i pogadalem z kierownikiem po czym zamknalem tam konto. Szczerze to najchetniej podpierdzielil bym ja do jakiejs instytucji bo kierownik wiele sie nie przejal…

        Odpowiedz
    • Idąc poziomem Twojego wpisu :) Chyba jednak nie poszanowałeś czyjeś prywatności skoro miałeś dostęp do loginów i haseł? Bo niby skąd wiedziałeś, że pliki zawierają poufne dane :) Jest cos takiego jak przenośnia i sarkazm :)

      Odpowiedz
      • A

        A może był administratorem? Nie poplujcie się dywagując nad tym

        Odpowiedz
    • wk

      @Holdmybeerandwatch

      Wywyższanie się nad innych na podstawie przekonania o własnej nieskalanej moralności jest słabe. Zniekształca ocenę sytuacji i znacznie utrudnia zapobieganie atakom.

      Odpowiedz
    • robert

      omg, musisz być zabawny na imprezach

      Odpowiedz
    • Miszel
      Odpowiedz
  3. A

    Takie coś jest do napisania w pół h
    W sensie Robak na usb, w wieku 15 lat takiego napisałem, tyle że lepszego bo miał autostart

    Odpowiedz
    • OnNieMialAutostartu

      To nie robak mial autostart…

      Odpowiedz

Odpowiedz