Check Point 研究人员观察到，Gamaredonh黑客组织在针对乌克兰的攻击中通过 USB 传播名为 LitterDrifter 的蠕虫病毒。

Gamaredon（又名 Shuckworm、Actinium、Armageddon、Primitive Bear、UAC-0010 和 Trident Ursa）自 2014 年以来一直活跃，其活动重点在乌克兰，该组织使用多级后门Pteranodon / Pterodo进行观察 。

Gamaredon   APT 组织 持续对乌克兰境内的 实体进行攻击，包括安全部门、军队和政府组织。

自俄乌问题爆发以来，该网络间谍组织已针对乌克兰目标开展了多次活动。CERT-UA 监控了 Gamaredon 的行动，并能够收集有关 APT 战术、技术和程序 (TTP) 的情报。

Check Point 表示，Gamaredon 组织通常会开展大规模活动，然后进行情报收集活动。在最新的攻击中，该组织使用了 USB 传播蠕虫 LitterDrifter。

LitterDrifter蠕虫病毒是用VBS编写的，它支持两个主要功能：自动USB传播和与广泛、灵活的C2集通信。

“这些功能的实施方式符合该组织的目标，有效地维持了跨广泛目标的持久指挥和控制（C2）通道。” 阅读CheckPoint 发布的分析。“LitterDrifter 似乎是先前报道的 将 Gamaredon 组织与正在传播的 USB Powershell 蠕虫联系在一起的活动的演变 。”

这两个功能在保存到磁盘的“trash.dll”编排组件中实现，该组件实际上是一个 VBS 脚本而不是 DLL。

运行编排组件后，它会解码并运行其他模块，并在受感染的系统上保持持久性。

提取的两个模块：

1.  Spreader 模块允许恶意软件在系统内传播，并可能通过优先感染 mediatype=NULL 的逻辑磁盘（通常与 USB 可移动介质相关）来针对其他环境。

2.  C2 模块与攻击者 C&C 服务器建立通信并执行传入的有效负载。该组件通过生成内置 C2 服务器的随机子域来检索 C2 服务器的 IP 地址。它还通过从 Telegram 频道检索 C2 服务器的 IP 地址来维护备份选项。

“Gamaredon 的 C&C 方法相当独特，因为它利用域名作为实际用作 C2 服务器的循环 IP 地址的占位符。” 报告继续。“在尝试联系 C2 服务器之前，该脚本会检查 %TEMP% 文件夹中是否存在硬编码在恶意软件中的无意义名称的现有 C2 配置文件。此机制充当恶意软件的自检功能，验证它是否已经感染了计算机。如果存在，当前执行可能只是由持久性机制触发的计划执行。”

威胁参与者严重混淆了编排组件，它是由一系列具有字符替换混淆的字符串构成的。

Check Point 研究人员报告称，美国、越南、智利、波兰、德国和香港也可能出现感染。

“LitterDrifter 不依赖于突破性技术，可能看起来是一种相对简单的恶意软件。然而，这种简单性也符合其目标，反映了 Gamaredon 的整体方法。” 该报告总结道，其中还包括妥协指标。“这一方法已证明相当有效，该组织在乌克兰的持续活动就证明了这一点。”

6 月，赛门铁克研究人员报告称，在某些情况下， 网络间谍组织 在目标网络中长达三个月仍未被发现。

大多数攻击开始于 2023 年 2 月/3 月，直到 5 月才在目标网络中发现威胁行为者。在一些攻击中，威胁行为者成功侵入了受害者的人力资源部门，试图收集有关各个组织人员的情报。

威胁行为者专注于窃取敏感信息，例如有关乌克兰军人死亡、敌方交战和空袭、军火库库存、军事训练等的报告。

赛门铁克指出，该组织多次刷新其工具集以避免被发现，研究人员发现了已知工具的新版本，并观察到该组织使用了短暂的基础设施。