Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
‘LitterDrifter’ Solucanı Büyük Ölçekli Toplama Operasyonunu Destekleyecek Şekilde Tasarlandı
Sayın Mihir (MihirBagwe) •
20 Kasım 2023
Rus iç istihbarat teşkilatı FSB ile bağlantılı ve Gamaredon olarak bilinen bir bilgisayar korsanlığı grubu, Ukraynalı kuruluşlara saldırmak için parmak sürücüleri aracılığıyla yayılan “LitterDrifter” adlı bir solucanı kullanıyor.
Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?
Siber güvenlik şirketi Check Point, solucanın büyük ölçekli bir siber casusluk operasyonunu desteklemek için tasarlandığını söyledi. “Bölgedeki mümkün olan en geniş hedeflere ulaşabilmek için basit ama etkili tekniklerden yararlanıyor.”
Ukrayna Güvenlik Servisi’nin 2021’de bildirdiğine göre, 2013 veya 2014’ten bu yana faaliyet gösteren ve Armageddon olarak da bilinen grup, FSB’nin düzenli memurlarından ve Ukrayna’nın bazı eski kolluk kuvvetlerinden oluşuyor. Grubun ısrarcı kampanyalarla ünlü olduğu belirtiliyor. her ne kadar yüksek düzeyde teknik yetenek olmasa da (bkz: Gamaredon Hacker’ları Kiev Karşı Saldırısı Sırasında Hack’leri Arttırdı).
Check Point, LitterDrifter’ın “çığır açan tekniklere dayanmadığını ve nispeten basit bir kötü amaçlı yazılım parçası gibi görünebileceğini” yazarak bu değerlendirmeyi yineliyor.
Araştırmacılar, bu solucanda olduğu gibi yine de basit yöntemlerin etkili olabileceğini yazdı.
LitterDrifter’ın iki temel işlevi vardır: USB sürücüler aracılığıyla otomatik yayılma ve tehdit aktörünün komuta ve kontrol sunucularıyla iletişim. Araştırmacılar solucanın, Symantec’in Haziran ayında açıkladığı gibi muhtemelen hava boşluklu makinelere ulaşmak için tasarlanmış PowerShell tabanlı bir USB solucanının bir çeşidi olduğundan şüpheleniyorlar.
Yayıcı modül VBS’de yazılmıştır. Solucanı, rastgele adlara sahip sahte bir LNK dosyasıyla birlikte bir USB sürücüsünde gizli bir dosya olarak gizler. Kötü amaçlı yazılım, adını ilk düzenleme bileşeninden alıyor. trash.dll.
Gamaredon’un, solucanı kontrol etmek için gerçekte kullandığı dönen IP adresleri için yer tutucu olarak etki alanlarını kullanarak benzersiz bir komuta ve kontrol yaklaşımı var. LitterDrifter ayrıca bir Telegram kanalından alınan bir C2 sunucu adresine de bağlanabilir.
Amerika Birleşik Devletleri, Vietnam, Şili, Polonya, Almanya ve Hong Kong’dan gelen VirusTotal başvurularını tespit eden Check Point, Ukrayna dışındaki potansiyel LitterDrifter USB solucanı enfeksiyonlarının işaretlerinin de ortaya çıktığını söyledi.
Gamaredon yıl boyunca aktif olmuştur. Ukraynalı siber savunucuları Temmuz ayında Ukrayna devlet kurumlarına ait binlerce sistemi istila eden bir bilgi hırsızlığı kampanyası tespit etti.