Desencriptar o perigo: a investigação da Check Point sobre as táticas de ciberespionagem dos atacantes de origem russa que visam entidades ucranianas

Desencriptar o perigo: a investigação da Check Point sobre as táticas de ciberespionagem dos atacantes de origem russa que visam entidades ucranianas

· Gamaredon, um interveniente APT distinto na espionagem russa, destaca-se pelas suas campanhas de grande escala que visam principalmente entidades ucranianas.

· O worm USB, LitterDrifter, revela um impacto global com potenciais infeções em países como os EUA, Vietname, Chile, Polónia, Alemanha e Hong Kong, expandindo-se para além dos seus alvos originais.

· Recentemente implementado pelo Gamaredon, o LitterDrifter é um worm escrito em VBS concebido para se espalhar através de drives USB, demonstrando a evolução das táticas do grupo táticas do grupo para manter uma infraestrutura flexível e volátil.

O LitterDrifter, a mais recente ferramenta do Gamaredon no seu arsenal cibernético, é um worm escrito em VBS com duas funcionalidades.

Segundo a Check Point Software, líder mundial de soluções de cibersegurança, os seus principais objetivos são a propagação automática através de unidades USB e o estabelecimento de comunicação com um conjunto flexível de servidores de comando e controlo. Esta conceção estratégica alinha-se com os objetivos globais da Gamaredon, permitindo ao grupo manter um acesso persistente aos seus alvos.

Alcance global do worm USB:

Embora a Gamaredon vise principalmente entidades ucranianas, a natureza do worm LitterDrifter introduz um elemento global nas suas operações. Indicações de possíveis infeções foram observadas em países como os EUA, Vietname, Chile, Polónia, Alemanha e até Hong Kong.

Kong. Isto sugere que, tal como outros worms USB, o LitterDrifter pode ter-se espalhado para além dos seus alvos inicialmente previstos, constituindo uma ameaça mais vasta à cibersegurança a nível mundial.

Antecedentes:

No cenário em constante evolução das ameaças à cibersegurança, alguns adversários destacam-se pela sua audácia e persistência. Gamaredon, também conhecido como Primitive Bear, ACTINIUM e

Shuckworm, é um ator proeminente no domínio da espionagem russa, com um foco único entidades ucranianas. Enquanto muitos grupos de ciberespionagem russos operam de modo oculto, a Gamaredon é notória nas suas campanhas em grande escala, deixando um rasto que os investigadores de cibersegurança estão ansiosos por dissecar. Neste post do blog, centramos a nossa atenção para uma das ferramentas da Gamaredon - o famoso worm que se propaga por USB, o LitterDrifter.

Filiação de Gamaredon:

A Gamaredon distingue-se por visar uma vasta gama de entidades ucranianas, demonstrando um empenho incansável nos seus objetivos de espionagem. O Serviço de Segurança da Ucrânia (SSU), a autoridade ucraniana responsável pela aplicação da lei e principal agência de informações e segurança nos domínios de atividade de contraespionagem e de combate ao crime organizado, identificou o pessoal da Gamaredon como agentes do Serviço Federal de Segurança russo (FSB), o serviço russo de serviço de segurança interna e de contraespionagem russo responsável pela contraespionagem, antiterrorismo e vigilância das forças armadas, acrescentando uma dimensão geopolítica às atividades do grupo.

Revelação da infraestrutura C2:

Na nossa análise exaustiva, aprofundamos a infraestrutura de comando e controlo da Gamaredon, e controlo, destacando a sua extrema flexibilidade e volatilidade. Apesar destas características dinâmicas, a infraestrutura mantém os padrões e características anteriormente registados, indicando um certo nível de consistência na abordagem da Gamaredon.

Conclusão:

Enquanto os peritos em cibersegurança continuam a desvendar as complexidades da ciberespionagem patrocinada pelo Estado, o Gamaredon continua a ser um ponto fulcral de análise serve como um testemunho da adaptabilidade e inovação do grupo, mostrando a constante evolução das ciberameaças. Compreender e dissecar este tipo de malware é crucial para fortalecer as defesas globais de cibersegurança contra adversários cada vez mais sofisticados.

Os clientes da Check Point permanecem protegidos

Os clientes da Check Point permanecem protegidos contra os ataques detalhados neste relatório enquanto utilizam o Check Point Harmony Endpoint.

Ao utilizar a Check Point para proteger o seu negócio, obtém uma prevenção precisa contra os ataques mais avançados através do poder da ThreatCloud AI, o cérebro por detrás de todos os produtos da Check Point. ThreatCloud AI.