Un gusano descubierto recientemente al que los investigadores llaman LittleDrifter se ha estado propagando a través de unidades USB infectando sistemas en varios países como parte de una campaña del grupo de espionaje patrocinado por el estado Gamaredon.
Los investigadores de malware vieron indicios de compromiso en Estados Unidos, Ucrania, Alemania, Vietnam, Polonia, Chile y Hong Kong, lo que sugiere que el grupo de amenazas perdió el control de LittleDrifter, que alcanzó objetivos no deseados.
Según una investigación de Check Point, el malware está escrito en VBS y fue diseñado para propagarse a través de unidades USB, como una evolución del gusano USB PowerShell de Gamaredon.
Gamaredon, también conocido como Shuckworm, Iron Tilden y Primitive Bear, es un grupo de amenazas de ciberespionaje asociado con Rusia que durante al menos una década ha apuntado a organizaciones en Ucrania de múltiples sectores, incluido el gobierno, la defensa y la infraestructura crítica.
El propósito de LitterDrifter es establecer comunicaciones con el servidor de comando y control (C2) del grupo de amenazas y distribuirlas a través de unidades USB.
Los investigadores explican que Gamaredon utiliza dominios como marcador de posición para las direcciones IP donde se encuentran los servidores C2. Desde esta perspectiva, el grupo de amenazas tiene un enfoque “bastante único”.
Antes de intentar contactar con el servidor C2, el malware busca en la carpeta temporal un archivo de configuración. Si dicho archivo no existe, LittleDrifter hace ping a uno de los dominios de Gamaredon mediante una consulta WMI.
La respuesta a la consulta contiene la dirección IP del dominio, que se guarda en un nuevo archivo de configuración.
Check Point señala que todos los dominios utilizados por el malware están registrados bajo ‘REGRU-RU’ y utilizan el dominio de nivel superior ‘.ru’, lo que concuerda con informes anteriores sobre la actividad de Gamaredon.
La vida útil típica de cada dirección IP que actúa como C2 en las operaciones de LitterDrifter es de aproximadamente 28 horas, pero las direcciones pueden cambiar varias veces al día para evadir la detección y el bloqueo.
El C2 puede enviar cargas útiles adicionales que LitterDrifter intenta decodificar y ejecutar en el sistema comprometido. CheckPoint aclara que en la mayoría de los casos no se descargaron cargas útiles adicionales, lo que puede indicar que los ataques están muy dirigidos.
El malware se caracteriza por su simplicidad y no se basa en técnicas novedosas, pero parece ser eficaz.
El informe de Check Point proporciona hashes para casi dos docenas de muestras de LittleDrifter, así como dominios asociados con la infraestructura de Gamaredon.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian