ロシアのハッカーはハードウェアをゲートウェイとして使用
このグループの活動の中心となるのは、Visual Basic Script (VBS) で開発されたワームである LitterDrifter マルウェアです。これには、USB ドライブによる配布とコマンド アンド コントロール (C2) チャネルの確立という 2 つの主な機能があります。この設計は、物理メディアを介して広範囲に配布し、進行中のスパイ活動のために感染システムへの常時アクセスを維持することを目的とした戦略的アプローチを示唆しています。
Check Point によると、LitterDrifter は、実際には VBS ファイルであるにもかかわらず、誤解を招きやすい「trash.dll」と呼ばれるオーケストレーション コンポーネントを通じて動作します。ロシアのハッカーは、このコンポーネントを使用して、感染したシステム内でのマルウェアの持続性を確保します。
これは、それ自体の隠しコピーを作成し、スケジュールされたタスクと起動エントリを設定して、中断のない操作を保証することによってこれを実現します。マルウェアの配布エンジンは、システム間で自身を複製することに重点を置いています。特に USB ドライブをターゲットにしており、C2 モジュールは攻撃サーバーとの通信を保護します。
「虫」は国境を越える
LitterDrifter は、複雑な難読化技術を使用して、その操作を隠し、検出を回避します。これには、コーディング戦略や、ファイルやプロセスに対する誤解を招く名前の使用が含まれます。マルウェアの実行には遅延アクションと不正なショートカットの作成が含まれており、これらはすべて正当なシステム プロセスにマルウェア自身を挿入するように設計されています。これらの戦術は、ガマレドンがサイバースパイ活動においてステルス性と有効性を維持するために採用している洗練されたアプローチを示しています。
LitterDrifter をサポートするインフラストラクチャは、ロシアのハッカーに関連する特定のパターンを反映しています。マルウェアが使用するほとんどのドメインは REGRU-RU に登録されており、通常はトップレベル ドメイン .ru を使用します。 LitterDrifter が使用する C2 サーバーは、IP アドレスを定期的に変更します。この戦略は、検出を回避し、運用上のセキュリティを維持することを目的としていると考えられます。
出典: チェックポイント