活跃多年，俄罗斯间谍组织使用USB蠕虫LitterDrifter攻击乌克兰

摘要

Check Point的研究人员观察到，与俄罗斯有关的Gamaredon在对乌克兰的攻击中通过USB传播了一种名为LitterDrifter的蠕虫。Gamaredon（又名Shuckworm、Actinium、Armageddon、Primitive Bear、UAC-0010和Trident Ursa）自2014年以来一直活跃，其活动集中在乌克兰，该组织是使用多级后门Pterandon/Pterodo观察到的。

Gamaredon APT集团继续对乌克兰的实体进行攻击，包括安全部门、军事和政府组织。自俄乌冲突以来，该网络间谍组织对乌克兰目标进行了多次打击。CERT-UA监测了Gamaredon的行动，并能够收集有关APT战术、技术和程序（TTP）的情报。

Check Point指出，Gamaredon组织通常会进行大规模的战役，然后进行情报收集活动。在最近的攻击中，该组织使用了USB传播蠕虫LitterDrifter。据悉，LitterDrifter蠕虫是用VBS编写的，它支持两个主要功能：自动USB传播和与一组广泛、灵活的C2通信。

CheckPoint发布的分析中写道：“这些功能的实现方式与团队的目标一致，有效地在广泛的目标范围内保持了持久的指挥控制（C2）通道。LitterDrifter似乎是之前报道的将Gamaredon群体与正在传播的USB Powershell蠕虫联系在一起的活动的演变。”

这两个功能是在一个保存到磁盘的编排组件中实现的，该组件名为“trash.dll”，实际上是一个VBS脚本，而不是dll。运行编排组件后，它会解码并运行其他模块，并在受感染的系统上保持持久性。

提取的两个模块：

1. Spreader模块允许恶意软件在系统内传播，并通过优先考虑mediatype=NULL的逻辑磁盘（通常与USB可移动介质相关）的感染来潜在地针对其他环境。

2.C2模块与攻击者C&C服务器建立通信，并执行传入的有效载荷。该组件通过生成内置C2服务器的随机子域来检索C2服务器的IP地址。它还通过从Telegram频道检索C2服务器的IP地址来维护备份选项。

Gamaredon对C&C的方法相当独特，因为它利用域作为实际用作C2服务器的流通IP地址的占位符。在尝试联系C2服务器之前，脚本会检查%TEMP%文件夹中是否存在一个硬编码在恶意软件中的名称毫无意义的现有C2配置文件。此机制充当恶意软件的自检，验证它是否已经感染了计算机。如果存在，则当前执行可能只是由持久性机制触发的计划执行。

威胁参与者严重混淆了编排组件，它是由一系列带有字符替换混淆的字符串构建的。