Een hackgroep uit de Russische staat, bekend als Gamaredon, heeft een rode USB-worm gemaakt met de naam LitterDrifter. Gamaredon onderscheidt zich door zijn focus op Oekraïne en richt zich actief op overheidssystemen in de regio om strategische inzichten te verkrijgen. Cyberdreigingsinformatiebedrijf Check Point Research heeft ontdekt dat LitterDrifter zijn kwaadaardige bereik nu heeft verspreid naar landen buiten het beoogde bereik.
Om de werking van LitterDrifter te begrijpen, is inzicht nodig in zichzelf voortplantende wormen en hun gebruik van USB-drives. Dit type malware heeft het vermogen om zich autonoom van de ene computer naar de andere te verspreiden, zonder menselijke tussenkomst. LitterDrifter, geschreven in Visual Basic, werkt met twee primaire functies: zichzelf verspreiden naar schijven en een verbinding tot stand brengen met een command and control (C2) server.
De functionaliteit van de malware is discreet ingebed in een bestand met de naam “trash.dll”, een ogenschijnlijk onschuldig besturingssysteembestand. Dit bestand bevat een hoofdfunctie en twee modules: een spreader en een C2-module. Om detectie door beveiligingstools te omzeilen, wordt de kwaadaardige code versluierd, waarbij de hoofdfunctie verantwoordelijk is voor het onleesbaar maken van de code en het activeren van de uitvoering ervan.
LitterDrifter, een USB-worm gemaakt in Rusland, heeft zijn bereik tot buiten Oekraïne uitgebreid
De spreadermodule werkt door recursief toegang te krijgen tot submappen op elke schijf, LNK-lokalisatiesnelkoppelingen te creëren en een verborgen kopie van het bestand “trash.dll” te distribueren. De malware gebruikt LNK-bestanden als lokmiddel om gebruikers te misleiden zodat ze de kwaadaardige lading (“trash.dll”) uitvoeren. Met behulp van Windows Management Instrumentation (WMI) identificeert de module verwisselbare USB-drives, waardoor de worm zich kan verspreiden. De spreader genereert meer LNK-bestanden met willekeurige namen voor elke gedetecteerde logische schijf en voert de kwaadaardige ’trash.dll’-payload uit.
De C&C-strategie van Gamaredon omvat het gebruik van domeinen als proxy’s voor IP-adressen. Voordat er contact wordt opgenomen met een Gamaredon-server, controleert de C2-module op een C2-configuratiebestand. Indien afwezig, pingt het een van de domeinen van Gamaredon om het IP-adres te extraheren, waardoor een nieuw configuratiebestand wordt aangemaakt. De C2-communicatie omvat een samengestelde URL en een aangepaste user-agent met details over de geïnfecteerde machine. Een failteller bepaalt de relevante C2-methode, zoals het oplossen van een embedded domein of het verbinden met een Telegram-back-upkanaal. Bij het ontdekken van een lading probeert LitterDrifter deze te decoderen en uit te voeren.
Hoewel deze methoden niet baanbrekend zijn, blijken ze onmiskenbaar effectief. LitterDrifter heeft de recente activiteiten zien toenemen, waardoor Gamaredon duurzame toegang heeft gekregen tot informatie in Oekraïne. Ondanks de focus van Gamaredon op Oekraïne heeft de effectiviteit van de worm ertoe geleid dat de worm zich verder heeft verspreid dan het oorspronkelijke doel. Landen als de VS, Vietnam, Chili, Polen en Duitsland hebben infectie-incidenten gemeld. Dit fenomeen is niet ongewoon voor worm-malware, wat de kracht en het bereik van dit soort cyberaanvallen onderstreept.
