Le ver LitterDrifter fait partie des dernières tactiques du groupe Gamaredon (également connu sous les noms de Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm et Winterflounder), qui se livre à des campagnes à grande échelle suivies « d'efforts de collecte de données visant des cibles spécifiques, dont la sélection est probablement motivée par des objectifs d’espionnage ».
Gamaredon est actif depuis au moins 2014 et a été attribué au Service fédéral de sécurité russe par le Service de sécurité ukrainien. La plupart des groupes soutenus par le Kremlin s’efforcent de passer inaperçus ; Gamaredon n'en a cure. Ses campagnes d’espionnage ciblant un grand nombre d’organisations ukrainiennes sont faciles à détecter et à relier au gouvernement russe. Les campagnes tournent généralement autour de logiciels malveillants visant à obtenir autant d’informations que possible sur les cibles.
L’un de ces outils est un ver informatique conçu pour se propager d’un ordinateur à l’autre via des clés USB. Traqué par les chercheurs de Check Point Research sous le nom de LitterDrifter, le malware est écrit dans le langage Visual Basic Scripting. LitterDrifter a deux objectifs*: se propager de manière aléatoire d'une clé USB à l'autre et infecter de manière permanente les appareils qui se connectent à ces lecteurs avec des logiciels malveillants qui communiquent en permanence avec les serveurs de commande et de contrôle gérés par Gamaredon.
Il est également soupçonné qu'il s'agit d'une évolution d'un ver USB basé sur PowerShell précédemment divulgué par Symantec en juin 2023. Écrit en VBS, le module de propagation est chargé de distribuer le ver sous forme de fichier caché sur une clé USB avec un leurre LNK auquel sont attribués des noms aléatoires. Le malware tire son nom de LitterDrifter du fait que le composant d'orchestration initial s'appelle "trash.dll".
« L'approche de Gamaredon envers le C&C est plutôt unique, car elle utilise des domaines comme espace réservé pour les adresses IP en circulation réellement utilisées comme serveurs C2 », a expliqué Check Point.
LitterDrifter est également capable de se connecter à un serveur C&C extrait d’un canal Telegram, une tactique que l’acteur malveillant a utilisée à plusieurs reprises depuis au moins le début de l’année.
La société de cybersécurité a déclaré avoir également détecté des signes d'infection possible en dehors de l'Ukraine sur la base des soumissions de VirusTotal provenant des États-Unis, du Vietnam, du Chili, de la Pologne, de l'Allemagne et de Hong Kong.
« Gamaredon continue de se concentrer sur une grande variété de cibles ukrainiennes, mais en raison de la nature du ver USB, nous voyons des indications d'une infection possible dans divers pays comme les États-Unis, le Vietnam, le Chili, la Pologne et l'Allemagne », ont déclaré des chercheurs de Check Point. « De plus, nous avons observé des preuves d’infections à Hong Kong. Tout cela pourrait indiquer que, tout comme les autres vers USB, LitterDrifter s’est propagé au-delà de ses cibles ».
Dans le code du ver
Les vers sont des formes de logiciels malveillants qui se propagent sans que l'utilisateur n'intervienne. En tant que logiciels auto-propagatifs, les vers sont connus pour leur croissance explosive à des échelles exponentielles. Stuxnet, le ver créé par l'Agence de sécurité nationale américaine et son homologue israélien, est un avertissement pour les agences d'espionnage. Ses créateurs voulaient que Stuxnet n’infecte qu’un nombre relativement restreint de cibles iraniennes participant au programme d’enrichissement de l’uranium de ce pays. Au lieu de cela, Stuxnet s'est répandu partout, infectant environ 100 000 ordinateurs dans le monde. Les vers non activés par USB, tels que NotPetya et WannaCry, en ont infecté encore davantage.
LitterDrifter fournit un moyen de propagation similaire. Les chercheurs de Check Point ont expliqués :
L'essence même du module Spreader réside dans l'accès récursif aux sous-dossiers de chaque lecteur et dans la création de raccourcis leurres LNK, ainsi qu'une copie cachée du fichier «*trash.dll*».
Lors de l'exécution, le module interroge les lecteurs logiques de l'ordinateur à l'aide de Windows Management Instrumentation (WMI) et recherche les disques logiques dont la valeur MediaType est définie sur null, une méthode souvent utilisée pour identifier les lecteurs USB amovibles.
Pour chaque lecteur logique détecté, l'épandeur appelle la fonction createShortcutsInSubfolders. Au sein de cette fonction, il parcourt les sous-dossiers d'un dossier fourni jusqu'à une profondeur de 2.
Pour chaque sous-dossier, il utilise la fonction CreateShortcut dans le cadre de l'action « Créer LNK », qui est chargée de générer un raccourci avec des attributs spécifiques. Ces raccourcis sont des fichiers LNK auxquels sont attribués des noms aléatoires choisis dans un tableau du code. Ceci est un exemple des noms de leurres provenant d'un tableau dans l'un des échantillons que nous avons étudié "Bank_account", "постановa", "Bank_account", "службовa", "compromising_evidence". Les fichiers LNK utilisent wscript.exe**** pour exécuter «*trash.dll*» avec les arguments spécifiés " ""trash.dll"" /webm //e:vbScript //b /wm /cal ". En plus de générer le raccourci, la fonction crée également une copie cachée de «*trash.dll*» dans le sous-dossier.
Lors de l'exécution, le module interroge les lecteurs logiques de l'ordinateur à l'aide de Windows Management Instrumentation (WMI) et recherche les disques logiques dont la valeur MediaType est définie sur null, une méthode souvent utilisée pour identifier les lecteurs USB amovibles.
Pour chaque lecteur logique détecté, l'épandeur appelle la fonction createShortcutsInSubfolders. Au sein de cette fonction, il parcourt les sous-dossiers d'un dossier fourni jusqu'à une profondeur de 2.
Pour chaque sous-dossier, il utilise la fonction CreateShortcut dans le cadre de l'action « Créer LNK », qui est chargée de générer un raccourci avec des attributs spécifiques. Ces raccourcis sont des fichiers LNK auxquels sont attribués des noms aléatoires choisis dans un tableau du code. Ceci est un exemple des noms de leurres provenant d'un tableau dans l'un des échantillons que nous avons étudié "Bank_account", "постановa", "Bank_account", "службовa", "compromising_evidence". Les fichiers LNK utilisent wscript.exe**** pour exécuter «*trash.dll*» avec les arguments spécifiés " ""trash.dll"" /webm //e:vbScript //b /wm /cal ". En plus de générer le raccourci, la fonction crée également une copie cachée de «*trash.dll*» dans le sous-dossier.
Gamaredon a eu une présence active cette année, tout en faisant évoluer continuellement ses méthodes d'attaque. En juillet 2023, les capacités rapides d’exfiltration de données de l’adversaire ont été révélées, l’acteur malveillant transmettant des informations sensibles dans l’heure suivant la compromission initiale.
« Il est clair que LitterDrifter a été conçu pour soutenir une opération de collecte à grande échelle », a conclu la société. « Il s'appuie sur des techniques simples mais efficaces pour garantir qu'il puisse atteindre l'ensemble d'objectifs le plus large possible dans la région ».
Cette évolution intervient alors que le Centre national de coordination de la cybersécurité (NCSCC) d'Ukraine a révélé des attaques orchestrées par des pirates informatiques parrainés par l'État russe, ciblant des ambassades à travers l'Europe, notamment en Italie, en Grèce, en Roumanie et en Azerbaïdjan. Les intrusions, attribuées à APT29 (alias BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard et The Dukes), impliquent l'exploitation de la vulnérabilité WinRAR récemment révélée (CVE-2023-38831) via des leurres d'apparence inoffensive qui prétendent offrir des BMW à la vente, un thème qu'il a utilisé dans le passé.
La chaîne d'attaque commence par l'envoi aux victimes d'e-mails de phishing contenant un lien vers un fichier ZIP spécialement conçu qui, une fois lancé, exploite la faille pour récupérer un script PowerShell à partir d'un serveur distant hébergé sur Ngrok. « Une tendance inquiétante à l'exploitation de la vulnérabilité CVE-2023-38831 par des groupes de piratage des services de renseignement russes démontre sa popularité et sa sophistication croissantes », a déclaré le NCSCC.
Plus tôt cette semaine, l'équipe d'intervention d'urgence informatique d'Ukraine (CERT-UA) a découvert une campagne de phishing qui propage des archives RAR malveillantes contenant un document PDF provenant prétendument du service de sécurité d'Ukraine (SBU) mais, en réalité, il s'agit d'un exécutable qui mène à le déploiement de Remcos RAT. Le CERT-UA suit l'activité sous le nom d'UAC-0050, qui était également liée à une autre vague de cyberattaques visant les autorités de l'État du pays pour livrer Remcos RAT en février 2023.
Conclusion
Ces attaques montrent que les acteurs malveillants soutenus par la Russie continuent d’utiliser des méthodes innovantes et diversifiées pour infiltrer les réseaux de leurs adversaires et collecter des informations sensibles. Les organisations doivent être conscientes de ces menaces et prendre des mesures pour se protéger contre les logiciels malveillants qui se propagent via des lecteurs USB, tels que la désactivation de l’exécution automatique, le scan des périphériques amovibles et la mise à jour des logiciels.
Source : CheckPoint
Et vous ?
Quelles sont les conséquences potentielles de la propagation du ver USB LitterDrifter sur la sécurité nationale et internationale ?
Comment les organisations peuvent-elles se protéger contre les attaques de cyberespionnage soutenues par un État ?
Quelle est la responsabilité des fournisseurs de logiciels et des autorités compétentes dans la prévention et la réaction aux vulnérabilités exploitées par les acteurs malveillants ?
Quelles seraient, selon vous, les motivations et les objectifs des groupes Gamaredon, APT29 et Turla dans leurs opérations contre l’Ukraine et d’autres cibles ?
Quelles sont (ou devraient-être) les mesures prises par les pays et les organisations internationales pour dissuader et sanctionner les activités malveillantes des pirates informatiques soutenus par un État ?