Check Point Research gần đây đã phát hiện và phân tích một loại sâu mới có khả năng lây lan qua USB, một loại phần mềm độc hại có vẻ “đơn giản hơn” được tạo ra bởi Gamaredon, một nhóm nổi tiếng làm việc với Cơ quan An ninh Liên bang Nga (FSB). Còn được gọi là Primitive Bear, ACTINIUM và Shuckworm, Gamerdon là một người chơi không bình thường trong hệ sinh thái gián điệp của Nga, vốn hầu như chỉ nhằm mục đích xâm phạm các mục tiêu ở Ukraine.
Check Point cho biết, trong khi các nhóm gián điệp mạng khác của Nga muốn che giấu sự hiện diện của mình nhiều nhất có thể thì Gamaredon lại nổi tiếng với các chiến dịch quy mô lớn trong khi vẫn tập trung vào các mục tiêu trong khu vực. Xả rácsâu được phát hiện gần đây của nhóm, dường như tuân theo hành vi thông thường của Gamaredon vì nó có thể đã vượt xa các mục tiêu ban đầu.
LitterDrifter là một loại sâu được viết bằng ngôn ngữ VBScript (VBS) có nhiều lỗi với hai chức năng chính: lây lan “tự động” qua ổ flash USB và nghe lệnh từ xa đến từ máy chủ chỉ huy và kiểm soát (C2) của người tạo. Các nhà nghiên cứu của Check Point giải thích rằng phần mềm độc hại này dường như là một sự phát triển từ những nỗ lực trước đây của Gamaredon với việc truyền bá qua USB.
LitterDrifter sử dụng hai mô-đun riêng biệt để đạt được mục tiêu của mình, được thực thi bởi thành phần VBS điều phối “rất khó hiểu” được tìm thấy trong thư viện thùng rác.dll. Sâu này cố gắng thiết lập tính bền vững trên hệ thống Windows bằng cách thêm các tác vụ được lên lịch và khóa Sổ đăng ký mới, khai thác khung Công cụ quản lý Windows (WMI) để xác định mục tiêu USB và tạo lối tắt với các tên ngẫu nhiên.
Sâu cố gắng lây nhiễm mục tiêu USB ngay khi ổ đĩa flash được kết nối với hệ thống. Sau khi bị lây nhiễm, LitterDrifter cố gắng liên hệ với máy chủ C2 ẩn sau mạng lưới địa chỉ IP động thường kéo dài tới 28 giờ. Sau khi kết nối được thiết lập, LitterDrifter có thể tải xuống các tải trọng bổ sung, giải mã và cuối cùng thực thi chúng trên hệ thống bị xâm nhập.
Check Point Research cho biết không có tải trọng nào được tải xuống thêm trong quá trình phân tích, điều đó có nghĩa là LitterDrifter có thể là giai đoạn đầu tiên của một cuộc tấn công đang diễn ra phức tạp hơn. Phần lớn các trường hợp lây nhiễm LitterDrifter được phát hiện ở Ukraine, nhưng sâu này cũng được xác định trên các PC đặt tại Mỹ, Đức, Việt Nam, Chile, Ba Lan. Gamaredon có thể đã mất quyền kiểm soát sâu của mình, cuối cùng nó đã lây lan sang các mục tiêu ngoài ý muốn trước khi cuộc tấn công toàn diện được triển khai.