Un groupe de cyberespionnage russe affili au Service fdral de scurit (FSB) a t observ en train dutiliser un ver USB appel LitterDrifter dans des attaques ciblant des entits ukrainiennes. Ce ver est capable de se propager automatiquement via des lecteurs USB connects ainsi que de communiquer avec les serveurs de commande et de contrle (C&C) des acteurs malveillants. Il est galement souponn dtre une volution dun ver USB bas sur PowerShell qui avait t prcdemment divulgu par Symantec en juin 2023.
Le ver LitterDrifter fait partie des dernires tactiques du groupe Gamaredon (galement connu sous les noms de Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm et Winterflounder), qui se livre des campagnes grande chelle suivies d’efforts de collecte de donnes visant des cibles spcifiques, dont la slection est probablement motive par des objectifs despionnage .
Gamaredon est actif depuis au moins 2014 et a t attribu au Service fdral de scurit russe par le Service de scurit ukrainien. La plupart des groupes soutenus par le Kremlin sefforcent de passer inaperus ; Gamaredon n’en a cure. Ses campagnes despionnage ciblant un grand nombre dorganisations ukrainiennes sont faciles dtecter et relier au gouvernement russe. Les campagnes tournent gnralement autour de logiciels malveillants visant obtenir autant dinformations que possible sur les cibles.
Lun de ces outils est un ver informatique conu pour se propager dun ordinateur lautre via des cls USB. Traqu par les chercheurs de Check Point Research sous le nom de LitterDrifter, le malware est crit dans le langage Visual Basic Scripting. LitterDrifter a deux objectifs*: se propager de manire alatoire d’une cl USB l’autre et infecter de manire permanente les appareils qui se connectent ces lecteurs avec des logiciels malveillants qui communiquent en permanence avec les serveurs de commande et de contrle grs par Gamaredon.
Il est galement souponn qu’il s’agit d’une volution d’un ver USB bas sur PowerShell prcdemment divulgu par Symantec en juin 2023. crit en VBS, le module de propagation est charg de distribuer le ver sous forme de fichier cach sur une cl USB avec un leurre LNK auquel sont attribus des noms alatoires. Le malware tire son nom de LitterDrifter du fait que le composant d’orchestration initial s’appelle « trash.dll ».
L’approche de Gamaredon envers le C&C est plutt unique, car elle utilise des domaines comme espace rserv pour les adresses IP en circulation rellement utilises comme serveurs C2 , a expliqu Check Point.
LitterDrifter est galement capable de se connecter un serveur C&C extrait dun canal Telegram, une tactique que lacteur malveillant a utilise plusieurs reprises depuis au moins le dbut de lanne.
La socit de cyberscurit a dclar avoir galement dtect des signes d’infection possible en dehors de l’Ukraine sur la base des soumissions de VirusTotal provenant des tats-Unis, du Vietnam, du Chili, de la Pologne, de l’Allemagne et de Hong Kong.
Gamaredon continue de se concentrer sur une grande varit de cibles ukrainiennes, mais en raison de la nature du ver USB, nous voyons des indications d’une infection possible dans divers pays comme les tats-Unis, le Vietnam, le Chili, la Pologne et l’Allemagne , ont dclar des chercheurs de Check Point. De plus, nous avons observ des preuves dinfections Hong Kong. Tout cela pourrait indiquer que, tout comme les autres vers USB, LitterDrifter sest propag au-del de ses cibles .
Dans le code du ver
Les vers sont des formes de logiciels malveillants qui se propagent sans que l’utilisateur n’intervienne. En tant que logiciels auto-propagatifs, les vers sont connus pour leur croissance explosive des chelles exponentielles. Stuxnet, le ver cr par l’Agence de scurit nationale amricaine et son homologue isralien, est un avertissement pour les agences d’espionnage. Ses crateurs voulaient que Stuxnet ninfecte quun nombre relativement restreint de cibles iraniennes participant au programme denrichissement de luranium de ce pays. Au lieu de cela, Stuxnet s’est rpandu partout, infectant environ 100 000 ordinateurs dans le monde. Les vers non activs par USB, tels que NotPetya et WannaCry, en ont infect encore davantage.
LitterDrifter fournit un moyen de propagation similaire. Les chercheurs de Check Point ont expliqus :
L’essence mme du module Spreader rside dans l’accs rcursif aux sous-dossiers de chaque lecteur et dans la cration de raccourcis leurres LNK, ainsi qu’une copie cache du fichier *trash.dll*.
Lors de l’excution, le module interroge les lecteurs logiques de l’ordinateur l’aide de Windows Management Instrumentation (WMI) et recherche les disques logiques dont la valeur MediaType est dfinie sur null, une mthode souvent utilise pour identifier les lecteurs USB amovibles.
Pour chaque lecteur logique dtect, l’pandeur appelle la fonction createShortcutsInSubfolders. Au sein de cette fonction, il parcourt les sous-dossiers d’un dossier fourni jusqu’ une profondeur de 2.
Pour chaque sous-dossier, il utilise la fonction CreateShortcut dans le cadre de l’action Crer LNK , qui est charge de gnrer un raccourci avec des attributs spcifiques. Ces raccourcis sont des fichiers LNK auxquels sont attribus des noms alatoires choisis dans un tableau du code. Ceci est un exemple des noms de leurres provenant d’un tableau dans l’un des chantillons que nous avons tudi 
« Bank_account », « постановa », « Bank_account », « службовa », « compromising_evidence »). Les fichiers LNK utilisent wscript.exe**** pour excuter *trash.dll* avec les arguments spcifis » « »trash.dll » » /webm //e:vbScript //b /wm /cal « . En plus de gnrer le raccourci, la fonction cre galement une copie cache de *trash.dll* dans le sous-dossier.
Des volutions des mthodes d’attaque
Gamaredon a eu une prsence active cette anne, tout en faisant voluer continuellement ses mthodes d’attaque. En juillet 2023, les capacits rapides dexfiltration de donnes de ladversaire ont t rvles, lacteur malveillant transmettant des informations sensibles dans lheure suivant la compromission initiale.
Il est clair que LitterDrifter a t conu pour soutenir une opration de collecte grande chelle , a conclu la socit. Il s’appuie sur des techniques simples mais efficaces pour garantir qu’il puisse atteindre l’ensemble d’objectifs le plus large possible dans la rgion .
Cette volution intervient alors que le Centre national de coordination de la cyberscurit (NCSCC) d’Ukraine a rvl des attaques orchestres par des pirates informatiques parrains par l’tat russe, ciblant des ambassades travers l’Europe, notamment en Italie, en Grce, en Roumanie et en Azerbadjan. Les intrusions, attribues APT29 (alias BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard et The Dukes), impliquent l’exploitation de la vulnrabilit WinRAR rcemment rvle (CVE-2023-38831) via des leurres d’apparence inoffensive qui prtendent offrir des BMW la vente, un thme qu’il a utilis dans le pass.
La chane d’attaque commence par l’envoi aux victimes d’e-mails de phishing contenant un lien vers un fichier ZIP spcialement conu qui, une fois lanc, exploite la faille pour rcuprer un script PowerShell partir d’un serveur distant hberg sur Ngrok. Une tendance inquitante l’exploitation de la vulnrabilit CVE-2023-38831 par des groupes de piratage des services de renseignement russes dmontre sa popularit et sa sophistication croissantes , a dclar le NCSCC.
Plus tt cette semaine, l’quipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a dcouvert une campagne de phishing qui propage des archives RAR malveillantes contenant un document PDF provenant prtendument du service de scurit d’Ukraine (SBU) mais, en ralit, il s’agit d’un excutable qui mne le dploiement de Remcos RAT. Le CERT-UA suit l’activit sous le nom d’UAC-0050, qui tait galement lie une autre vague de cyberattaques visant les autorits de l’tat du pays pour livrer Remcos RAT en fvrier 2023.
Conclusion
Ces attaques montrent que les acteurs malveillants soutenus par la Russie continuent dutiliser des mthodes innovantes et diversifies pour infiltrer les rseaux de leurs adversaires et collecter des informations sensibles. Les organisations doivent tre conscientes de ces menaces et prendre des mesures pour se protger contre les logiciels malveillants qui se propagent via des lecteurs USB, tels que la dsactivation de lexcution automatique, le scan des priphriques amovibles et la mise jour des logiciels.
Source : CheckPoint
Et vous ?
Quelles sont les consquences potentielles de la propagation du ver USB LitterDrifter sur la scurit nationale et internationale ?
Comment les organisations peuvent-elles se protger contre les attaques de cyberespionnage soutenues par un tat ?
Quelle est la responsabilit des fournisseurs de logiciels et des autorits comptentes dans la prvention et la raction aux vulnrabilits exploites par les acteurs malveillants ?
Quelles seraient, selon vous, les motivations et les objectifs des groupes Gamaredon, APT29 et Turla dans leurs oprations contre lUkraine et dautres cibles ?
Quelles sont (ou devraient-tre) les mesures prises par les pays et les organisations internationales pour dissuader et sanctionner les activits malveillantes des pirates informatiques soutenus par un tat ?