Check Point Software Technologiesは11月17日(米国時間)、「Malware Spotlight - Into the Trash: Analyzing LitterDrifter - Check Point Research」において、ロシア連邦保安庁(FSB: Russian Federal Security Service、ФСБ:Федеральная служба безопасности Российской Федер)に関係するとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループ「Gamaredon(別名:Primitive Bear、ACTINIUM、Shuckworm)」がマルウェア「LitterDrifter」をUSBデバイスを介して配布していると報じた。

Malware Spotlight - Into the Trash: Analyzing LitterDrifter - Check Point Research

Check Pointによると、Gamaredonはウクライナの幅広い標的を狙ってLitterDrifterを配布しているとみられている。LitterDrifterはUSBデバイスを介し感染を拡大するため、標的のウクライナを超えて米国、ベトナム、チリ、ポーランド、ドイツなどへ感染が拡大している可能性が指摘されている。

LitterDrifterはVBSで記述されたマルウェアで、永続性の確保と難読化されたペイロードを2つ展開し、実行する機能があるとされる。展開されるペイロードのうち1つはリムーバブルメディアに関連付けられている論理ディスクにLitterDrifterを感染させ、他の環境への拡散を試みる。もう1つはコマンド&コントロール(C2: Command and Control)サーバとの接続を確立し、追加のペイロードを実行する。

LitterDrifterの攻撃手順 引用:Check Point

LitterDrifterによって、感染したリムーバブルメディア(USBデバイス)には、LNKファイルと「trash.dll」というファイル名のLitterDrifter本体が保存される。trash.dllには隠しファイル属性が設定される。このリムーバブルメディアを他の環境で閲覧し、ユーザーがLNKファイルを開こうとすると「wscript.exe」を使用してtrash.dllが実行され感染が拡大する。

LitterDrifterは、比較的単純な技術で作成されたマルウェアではあるが、ウクライナにおいて影響が継続していることからその有効性が証明されているとして、Check Pointは感染拡大に注意を呼びかけている。