Um grupo de hackers estatais russos, conhecido por visar quase exclusivamente entidades ucranianas, ramificou-se nos últimos meses, acidental ou propositalmente, ao permitir que malware de espionagem baseado em USB infectasse uma variedade de organizações em outros países.
O grupo – conhecido por muitos nomes, incluindo Gamaredon, Primitive Bear, ACTINIUM, Armageddon e Shuckworm – está ativo desde pelo menos 2014 e foi atribuído ao Serviço de Segurança Federal da Rússia pelo Serviço de Segurança da Ucrânia. A maioria dos grupos apoiados pelo Kremlin esforça-se para passar despercebida; Gamaredon não se importa. As suas campanhas motivadas pela espionagem, dirigidas a um grande número de organizações ucranianas, são fáceis de detectar e vinculadas ao governo russo. As campanhas normalmente giram em torno de malware que visa obter o máximo possível de informações dos alvos.
Uma dessas ferramentas é um worm de computador projetado para se espalhar de computador para computador por meio de unidades USB. Rastreado por pesquisadores da Check Point Research como LitterDrifter, o malware é escrito na linguagem Visual Basic Scripting. O LitterDrifter tem dois propósitos: espalhar-se promiscuamente de unidade USB para unidade USB e infectar permanentemente os dispositivos que se conectam a essas unidades com malware que se comunica permanentemente com servidores de comando e controle operados pelo Gamaredon.
“Gamaredon continua focado em [a] grande variedade [of] Alvos ucranianos, mas devido à natureza do worm USB, vemos indicações de possível infecção em vários países como EUA, Vietname, Chile, Polónia e Alemanha”, investigadores da Check Point relatado recentemente. “Além disso, observamos evidências de infecções em Hong Kong. Tudo isso pode indicar que, assim como outros worms USB, o LitterDrifter [has] se espalhar além dos alvos pretendidos.”
A imagem acima, que rastreia os envios do LitterDrifter para o serviço VirusTotal, de propriedade da Alphabet, indica que o malware Gamaredon pode estar infectando alvos bem fora das fronteiras da Ucrânia. Os envios do VirusTotal geralmente vêm de pessoas ou organizações que encontram software desconhecido ou de aparência suspeita em suas redes e desejam saber se ele é malicioso. Os dados sugerem que o número de infecções nos EUA, Vietname, Chile, Polónia e Alemanha combinados pode ser cerca de metade das que afectam organizações dentro da Ucrânia.
Worms são formas de malware que se espalham sem exigir que o usuário execute qualquer ação. Como software de autopropagação, os worms são conhecidos por seu crescimento explosivo em escalas exponenciais. O Stuxnet, o worm criado pela Agência de Segurança Nacional dos EUA e pelo seu homólogo de Israel, tem sido um alerta para as agências de espionagem. Os seus criadores pretendiam que o Stuxnet infectasse apenas um número relativamente pequeno de alvos iranianos que participavam no programa de enriquecimento de urânio daquele país. Em vez disso, o Stuxnet se espalhou por toda parte, infectando cerca de 100 mil computadores em todo o mundo. Worms não ativados por USB, como NotPetya e WannaCry, infectaram ainda mais.
LitterDrifter fornece um meio semelhante de propagação. Os pesquisadores da Check Point explicaram:
A essência central do módulo Spreader reside no acesso recursivo a subpastas em cada unidade e na criação de atalhos de isca LNK, juntamente com uma cópia oculta do arquivo “trash.dll”.
Prolongar/ trash.dll é distribuído como um arquivo oculto em uma unidade USB junto com um chamariz LNK.
Após a execução, o módulo consulta as unidades lógicas do computador usando o Windows Management Instrumentation (WMI) e procura discos lógicos com o MediaType valor definido como nullum método frequentemente usado para identificar unidades USB removíveis.
Prolongar/ Componente espalhador do LitterDrifter.
Pesquisa de ponto de verificação
Para cada unidade lógica detectada, o spreader invoca o createShortcutsInSubfolders função. Dentro desta função, ela itera as subpastas de uma pasta fornecida até uma profundidade de 2.
Para cada subpasta, ele emprega o CreateShortcut funcionar como parte do “Create LNK”Ação, que é responsável por gerar um atalho com atributos específicos. Esses atalhos são arquivos LNK que recebem nomes aleatórios escolhidos em uma matriz no código. Este é um exemplo dos nomes das iscas de uma matriz em uma das amostras que investigamos:("Bank_accоunt", "постановa", "Bank_accоunt", "службовa", "cоmpromising_evidence"). Os arquivos LNK usam wscript.exe **** para executar “trash.dll” com argumentos especificados " ""trash.dll"" /webm //e:vbScript //b /wm /cal ". Além de gerar o atalho, a função também cria uma cópia oculta de “trash.dll” na subpasta.
Prolongar/ A função no componente Spreader usada para iterar subpastas.
Pesquisa de ponto de verificação
As técnicas descritas são relativamente simples, mas, como evidenciado, são bastante eficazes, tanto que lhe permitiram sair do seu domínio anterior de segmentação apenas ucraniano para um domínio muito maior. Pessoas que desejam saber se foram infectadas podem verificar a seção de indicadores de comprometimento da postagem da Check Point, que lista hashes de arquivos, endereços IP e domínios usados pelo malware.
“Composto por dois componentes principais – um módulo de espalhamento e um módulo C2 – fica claro que o LitterDrifter foi projetado para suportar uma operação de coleta em grande escala”, escreveram os pesquisadores da Check Point. “Ele aproveita técnicas simples, mas eficazes, para garantir que possa atingir o conjunto mais amplo possível de metas na região.”
