Des acteurs russes du cyberespionnage affiliés au Service fédéral de sécurité (FSB) ont été observés en train d’utiliser un ver se propageant via USB appelé Déplaceur de litière dans des attaques visant des entités ukrainiennes.
Check Point, qui détaille les dernières tactiques de Gamaredon (alias Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm et Winterflounder), a qualifié le groupe de s’engageant dans des campagnes à grande échelle suivies par « des efforts de collecte de données visant des cibles spécifiques, dont la sélection est probablement motivé par des objectifs d’espionnage.
Le ver LitterDrifter présente deux fonctionnalités principales : la propagation automatique du malware via des clés USB connectées ainsi que la communication avec les serveurs de commande et de contrôle (C&C) de l’acteur malveillant. Il est également soupçonné qu’il s’agit d’une évolution d’un ver USB basé sur PowerShell précédemment divulgué par Symantec en juin 2023.
Écrit en VBS, le module de propagation est chargé de distribuer le ver sous forme de fichier caché sur une clé USB avec un leurre LNK auquel sont attribués des noms aléatoires. Le malware tire son nom de LitterDrifter du fait que le composant d’orchestration initial s’appelle « trash.dll ».
« L’approche de Gamaredon envers le C&C est plutôt unique, car elle utilise des domaines comme espace réservé pour les adresses IP en circulation réellement utilisées comme serveurs C2 », a expliqué Check Point.
LitterDrifter est également capable de se connecter à un serveur C&C extrait d’une chaîne Telegram, une tactique qu’il a utilisée à plusieurs reprises depuis au moins le début de l’année.
La société de cybersécurité a déclaré avoir également détecté des signes d’infection possible en dehors de l’Ukraine sur la base des soumissions de VirusTotal provenant des États-Unis, du Vietnam, du Chili, de la Pologne, de l’Allemagne et de Hong Kong.
Gamaredon a eu une présence active cette année, tout en faisant évoluer continuellement ses méthodes d’attaque. En juillet 2023, les capacités rapides d’exfiltration de données de l’adversaire ont été révélées, l’acteur malveillant transmettant des informations sensibles dans l’heure suivant la compromission initiale.
« Il est clair que LitterDrifter a été conçu pour soutenir une opération de collecte à grande échelle », a conclu la société. « Il s’appuie sur des techniques simples mais efficaces pour garantir qu’il puisse atteindre l’ensemble d’objectifs le plus large possible dans la région. »
Cette évolution intervient alors que le Centre national de coordination de la cybersécurité (NCSCC) d’Ukraine a révélé des attaques orchestrées par des pirates informatiques parrainés par l’État russe, ciblant des ambassades à travers l’Europe, notamment en Italie, en Grèce, en Roumanie et en Azerbaïdjan.
Les intrusions, attribuées à APT29 (alias BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard et The Dukes), impliquent l’exploitation de la vulnérabilité WinRAR récemment révélée (CVE-2023-38831) via des leurres d’apparence inoffensive qui prétendent pour proposer des BMW à la vente, un thème qu’il a utilisé dans le passé.
La chaîne d’attaque commence par l’envoi aux victimes d’e-mails de phishing contenant un lien vers un fichier ZIP spécialement conçu qui, une fois lancé, exploite la faille pour récupérer un script PowerShell à partir d’un serveur distant hébergé sur Ngrok.
« Une tendance inquiétante à l’exploitation de la vulnérabilité CVE-2023-38831 par des groupes de piratage des services de renseignement russes démontre sa popularité et sa sophistication croissantes », a déclaré le NCSCC.
Plus tôt cette semaine, l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) a découvert une campagne de phishing qui propage des archives RAR malveillantes qui se font passer pour un document PDF du service de sécurité d’Ukraine (SBU) mais qui, en réalité, sont un exécutable qui mène au déploiement de Remcos RAT.
Le CERT-UA suit l’activité sous le nom d’UAC-0050, qui était également liée à une autre vague de cyberattaques visant les autorités de l’État du pays pour livrer Remcos RAT en février 2023.
