俄罗斯网络间谍组织最近在针对乌克兰实体的攻击中，部署了一种名为LitterDrifter的USB蠕虫。这种蠕虫具有自动传播恶意软件的功能，并与威胁行为者的命令和控制服务器进行通信。该组织被称为Gamaredon，其攻击行动被认为是大规模的，旨在进行针对特定目标的数据收集，可能是出于间谍目的。本文将详细介绍LitterDrifter蠕虫的部署和攻击方式，以及Gamaredon组织的独特C&C方法。

LitterDrifter蠕虫主要通过连接的USB驱动器自动传播恶意软件，并与威胁行为者的命令和控制服务器进行通信。这种蠕虫被怀疑是Symantec于2023年6月披露的基于PowerShell的USB蠕虫的演变版本。蠕虫的传播模块是使用VBS编写的，负责将蠕虫作为隐藏文件与随机命名的伪装LNK一起分发到USB驱动器中。蠕虫的名称LitterDrifter源于初始编排组件的命名为"trash.dll"。

Gamaredon组织在与命令和控制服务器（C&C）的通信中采用了独特的方法，即使用域名作为实际用作C2服务器的IP地址的占位符。这种方法使得追踪和干扰C&C服务器变得更加困难。此外，LitterDrifter蠕虫还能够连接到从Telegram频道提取的C&C服务器，这是自今年年初以来一直在使用的策略。

LitterDrifter蠕虫的设计目的是支持大规模的数据收集行动，它利用简单但有效的技术确保能够影响该地区尽可能广泛的目标。根据检测到的VirusTotal提交，我们还发现了乌克兰以外的地区可能遭受到感染的迹象，包括美国、越南、智利、波兰、德国和香港等地。

俄罗斯APT29组织利用WinRAR漏洞攻击欧洲大使馆
与此同时，乌克兰国家网络安全协调中心（NCSCC）披露了俄罗斯国家支持的黑客组织针对欧洲大使馆的攻击。这些入侵行动被归因于APT29组织，该组织利用了最近披露的WinRAR漏洞（CVE-2023-38831），通过声称提供出售宝马汽车的伪装诱饵进行攻击。

LitterDrifter USB蠕虫的部署和Gamaredon组织的攻击行动再次凸显了网络间谍活动的严重性和复杂性。我们应该保持警惕，并加强网络安全措施，以保护个人和组织的敏感信息免受这些威胁的侵害。