Un ver récemment découvert, que les chercheurs appellent LittleDrifter, s’est répandu sur des clés USB, infectant les systèmes de plusieurs pays dans le cadre d’une campagne du groupe d’espionnage parrainé par l’État Gamaredon.
Les chercheurs en logiciels malveillants ont constaté des signes de compromission aux États-Unis, en Ukraine, en Allemagne, au Vietnam, en Pologne, au Chili et à Hong Kong, ce qui suggère que le groupe menaçant a perdu le contrôle de LittleDrifter, qui a atteint des cibles involontaires.
Selon une étude de Check Point, le malware est écrit en VBS et a été conçu pour se propager via des clés USB, comme une évolution du ver USB PowerShell de Gamaredon.
Gamaredon, également connu sous les noms de Shuckworm, Iron Tilden et Primitive Bear, est un groupe de menace de cyberespionnage associé à la Russie qui, depuis au moins une décennie, cible des organisations en Ukraine issues de plusieurs secteurs, notamment le gouvernement, la défense et les infrastructures critiques.
Détails du LitterDrifter
Le but de LitterDrifter est d’établir des communications avec le serveur de commande et de contrôle (C2) du groupe menaçant et de se propager sur des clés USB.
Pour atteindre son objectif, le malware utilise deux modules distincts, qui sont exécutés par le composant VBS fortement obscurci trash.dll.
LitterDrifter et tous ses composants s’emboîtent dans le répertoire « Favoris » de l’utilisateur et établissent la persistance en ajoutant des tâches planifiées et des clés de registre.
Le module responsable de la propagation vers d’autres systèmes surveille les clés USB nouvellement insérées et crée des raccourcis LNK trompeurs ainsi qu’une copie cachée du « trash.dll ».
Le malware utilise le cadre de gestion Windows Management Instrumentation (WMI) pour identifier les lecteurs cibles et crée des raccourcis avec des noms aléatoires pour exécuter des scripts malveillants.
Les chercheurs expliquent que Gamaredon utilise des domaines comme espace réservé pour les adresses IP où se trouvent les serveurs C2. De ce point de vue, le groupe menaçant a une approche « plutôt unique ».
Avant d’essayer de contacter le serveur C2, le malware recherche dans le dossier temporaire un fichier de configuration. Si un tel fichier n’existe pas, LittleDrifter envoie une requête ping à l’un des domaines de Gamaredon à l’aide d’une requête WMI.
La réponse à la requête contient l’adresse IP du domaine, qui est enregistrée dans un nouveau fichier de configuration.
Check Point note que tous les domaines utilisés par le malware sont enregistrés sous « REGRU-RU » et utilisent le domaine de premier niveau « .ru », ce qui est cohérent avec les rapports antérieurs sur l’activité de Gamaredon.
La durée de vie typique de chaque adresse IP qui agit comme C2 dans les opérations de LitterDrifter est d’environ 28 heures, mais les adresses peuvent changer plusieurs fois par jour pour échapper à la détection et au blocage.
Le C2 peut envoyer des charges utiles supplémentaires que LitterDrifter tente de décoder et d’exécuter sur le système compromis. CheckPoint précise qu’aucune charge utile supplémentaire n’a été téléchargée dans la plupart des cas, ce qui peut indiquer que les attaques sont hautement ciblées.
En guise d’option de sauvegarde, le malware peut également récupérer l’adresse IP C2 à partir d’un canal Telegram.
LitterDrifter fait probablement partie de la première étape d’une attaque, essayant d’établir une persistance sur le système compromis et attendant que le C2 fournisse de nouvelles charges utiles qui favoriseraient l’attaque.
Le malware se caractérise par sa simplicité et ne repose pas sur de nouvelles techniques, mais il semble efficace.
Le rapport de Check Point fournit des hachages pour près de deux douzaines d’échantillons LittleDrifter ainsi que des domaines associés à l’infrastructure de Gamaredon.