Ce qui est ancien est à nouveau nouveau, les chercheurs constatant une multiplication par trois des logiciels malveillants distribués via des clés USB au cours du premier semestre 2023
Un nouveau rapport de Mandiant décrit comment deux campagnes de logiciels malveillants livrés par USB ont été observées cette année ; l’un nommé « Sogu », attribué à un groupe de menace d’espionnage chinois « TEMP.HEX », et un autre nommé « Snowydrive », attribué à UNC4698, qui cible les entreprises pétrolières et gazières en Asie.
Auparavant, en novembre 2022, la société de cybersécurité avait mis en avant une campagne China-nexus utilisant des périphériques USB pour infecter des entités aux Philippines avec quatre familles de logiciels malveillants distinctes.
De plus, en janvier 2023, l’équipe de l’unité 42 de Palo Alto Network a découvert une variante PlugX qui pourrait se cacher dans les clés USB et infecter les hôtes Windows auxquels ils sont connectés.
La campagne Sogu
Mandiant rapporte que Sogu est actuellement la campagne de cyber-espionnage assistée par USB la plus agressive, ciblant de nombreuses industries dans le monde et tentant de voler des données sur des ordinateurs infectés.
Les victimes du malware Sogu se trouvent aux États-Unis, en France, au Royaume-Uni, en Italie, en Pologne, en Autriche, en Australie, en Suisse, en Chine, au Japon, en Ukraine, à Singapour, en Indonésie et aux Philippines.
La plupart des victimes appartiennent aux secteurs de la pharmacie, de l’informatique, de l’énergie, des communications, de la santé et de la logistique, mais il y a des victimes dans tous les domaines.
La charge utile, appelée « Korplug », charge le shellcode C (Sogu) en mémoire via le piratage d’ordre DLL, ce qui nécessite d’inciter la victime à exécuter un fichier légitime.
Sogu établit la persistance en créant une clé d’exécution de registre et utilise le planificateur de tâches Windows pour s’assurer qu’il s’exécute régulièrement.
Ensuite, le logiciel malveillant dépose un fichier de commandes sur « RECYCLE.BIN » qui aide à la reconnaissance du système, en analysant la machine infectée à la recherche de documents MS Office, de PDF et d’autres fichiers texte pouvant contenir des données précieuses.
Les fichiers trouvés par Sogu sont copiés dans deux répertoires, un sur le lecteur C:\ de l’hôte et un sur le répertoire de travail sur le lecteur flash, et chiffrés à l’aide de base64.
Les fichiers de documents sont finalement exfiltrés vers le serveur C2 via TCP ou UDP, à l’aide de requêtes HTTP ou HTTPS.
Sogu prend également en charge l’exécution de commandes, l’exécution de fichiers, le bureau à distance, la capture d’écran de l’ordinateur infecté, la configuration d’un shell inversé ou l’enregistrement de frappe.
Tous les lecteurs connectés au système infecté recevront automatiquement une copie du fichier compromis initial de Sogu pour permettre le mouvement latéral.
Campagne Snowydrive
Snowydrive est une campagne qui infecte les ordinateurs avec une porte dérobée permettant aux attaquants d’exécuter des charges utiles arbitraires via l’invite de commande Windows, de modifier le registre et d’effectuer des actions sur les fichiers et les répertoires.
Dans ce cas également, la victime est amenée à lancer un exécutable d’apparence légitime sur une clé USB, ce qui déclenche l’extraction et l’exécution des composants du logiciel malveillant qui se trouvent dans un dossier « Kaspersky ».
Les composants assument des rôles spécifiques tels que l’établissement de la persistance sur le système piraté, l’évitement de la détection, la suppression d’une porte dérobée et la garantie de la propagation des logiciels malveillants via des clés USB nouvellement connectées.
Snowydrive est une porte dérobée basée sur un shellcode qui est chargée dans le processus de « CUZ.exe », qui est un logiciel légitime de décompression d’archives.
La porte dérobée prend en charge de nombreuses commandes qui permettent les opérations sur les fichiers, l’exfiltration de données, le reverse shell, l’exécution de commandes et la reconnaissance.
Pour l’évasion, le logiciel malveillant utilise une DLL malveillante chargée latéralement par « GUP.exe », un programme de mise à jour légitime de Notepad ++, pour masquer les extensions de fichiers et les fichiers spécifiques marqués par « système » ou « caché ».
Les attaques basées sur USB vont continuer
Alors que les attaques USB nécessitent un accès physique aux ordinateurs cibles pour réaliser l’infection, elles présentent des avantages uniques qui les maintiennent à la fois pertinentes et tendances en 2023, comme le rapporte Mandiant.
Les avantages incluent le contournement des mécanismes de sécurité, la furtivité, l’accès initial aux réseaux d’entreprise et la possibilité d’infecter des systèmes isolés des réseaux non sécurisés pour des raisons de sécurité.
L’enquête de Mandiant indique que les imprimeries et les hôtels sont des points chauds d’infection pour les logiciels malveillants USB.
Néanmoins, compte tenu de la propagation aléatoire et opportuniste de ces portes dérobées, tout système doté d’un port USB pourrait être une cible.