Un acteur de la menace motivé financièrement utilisant des périphériques USB pour l’infection initiale a été trouvé en train d’abuser de plateformes en ligne légitimes, notamment GitHub, Vimeo et Ars Technica, pour héberger des charges utiles codées intégrées dans un contenu apparemment bénin.

Les attaquants cachent ces charges utiles à la vue de tous, les plaçant dans des profils d’utilisateurs de forums sur des sites d’actualités technologiques ou des descriptions de vidéos sur des plateformes d’hébergement de médias.

Ces charges utiles ne présentent aucun risque pour les utilisateurs visitant ces pages Web, car il s’agit simplement de chaînes de texte. Cependant, lorsqu’ils sont intégrés à la chaîne d’attaque de la campagne, ils jouent un rôle essentiel dans le téléchargement et l’exécution de logiciels malveillants lors d’attaques.

Les pirates informatiques responsables de cette campagne sont suivis par Mandiant sous le numéro UNC4990 et sont actifs depuis 2020, ciblant principalement les utilisateurs en Italie.

Hébergement involontaire de la charge utile
L’attaque commence par un double-clic sur un fichier de raccourci LNK malveillant sur une clé USB. On ne sait pas comment les périphériques USB malveillants parviennent aux victimes ciblées pour démarrer la chaîne d’attaque.

Lorsque le raccourci est lancé, il exécute un script PowerShell explorer.ps1, qui à son tour télécharge une charge utile intermédiaire qui décode vers une URL utilisée pour télécharger et installer le téléchargeur de logiciels malveillants nommé ‘EMPTYSPACE.’

Ces charges utiles intermédiaires sont des chaînes de texte qui se décodent en une URL pour télécharger la charge utile suivante: EMPTYSPACE.

UNC4990 a essayé plusieurs approches pour héberger des charges utiles intermédiaires, en utilisant initialement des fichiers texte encodés sur GitHub et GitLab, puis en utilisant abusivement Vimeo et Ars Technica pour héberger des charges utiles de chaînes encodées en Base64 et cryptées AES.

Mandiant note que les attaquants n’exploitent pas une vulnérabilité de ces sites, mais utilisent simplement les fonctionnalités habituelles du site, comme une page À propos d’un profil de forum Ars Technica ou une description vidéo Vimeo, pour héberger secrètement la charge utile obscurcie sans éveiller les soupçons.

Vidéo Vimeo code malveillant caché dans la description

De plus, ces charges utiles ne menacent pas directement les visiteurs des sites victimes d’abus car ce ne sont que des chaînes de texte inoffensives, et tous les cas documentés par Mandiant ont maintenant été supprimés des plates-formes intermédiaires impactées.

L’avantage d’héberger les charges utiles sur des plates-formes légitimes et réputées est qu’elles sont approuvées par les systèmes de sécurité, ce qui réduit la probabilité qu’elles soient signalées comme suspectes.

De plus, les acteurs de la menace bénéficient des réseaux de diffusion de contenu robustes de ces plateformes et bénéficient d’une résilience aux suppressions.

L’intégration des charges utiles dans un contenu légitime et son mélange avec des volumes élevés de trafic légitime rendent plus difficile l’identification et la suppression du code malveillant.

Même dans ce cas, les attaquants pourraient facilement le réintroduire sur une autre plate-forme prenant en charge des commentaires ou des profils visibles publiquement.

Chaîne d’attaque complète UNC4990

Chargement de la carte silencieuse
Le script PowerShell décode, déchiffre et exécute la charge utile intermédiaire extraite des sites légitimes et dépose EMPTYSPACE sur le système infecté, ce qui établit la communication avec le serveur de commande et de contrôle (C2) de la campagne.

Évolution du script PowerShell

Dans les phases suivantes de l’attaque, EMPTY SPACE télécharge une porte dérobée nommée « QUIET BOARD », ainsi que des mineurs de pièces cryptographiques qui exploitent Monero, Ethereum, Dogecoin et Bitcoin.

Les adresses de portefeuille liées à cette campagne ont réalisé un bénéfice supérieur à 55 000$, sans tenir compte de Monero, qui est caché.

QUIET BOARD est une porte dérobée sophistiquée à plusieurs composants utilisée par l’UNC4990, offrant un large éventail de capacités, notamment:

  • Exécution de commandes ou de scripts reçus du serveur C2
  • Exécution du code Python reçu du C2
  • Modification du contenu du presse-papiers pour le vol de crypto-monnaie
  • Infecter des clés USB / amovibles pour propager des logiciels malveillants sur d’autres systèmes
  • Capture de captures d’écran pour le vol d’informations
  • Collecte d’informations détaillées sur le système et le réseau
  • Déterminer l’emplacement géographique du système infecté

QUIET BOARD établit également la persistance entre les redémarrages du système et prend en charge l’ajout dynamique de nouvelles fonctionnalités via des modules supplémentaires.

Mandiant conclut en soulignant comment UNC4990 aime mener des expériences avec ses campagnes pour découvrir des voies optimales pour sa chaîne d’attaque et affiner ses méthodologies.

Malgré les mesures de prévention apparemment simples, les logiciels malveillants basés sur USB continuent de constituer une menace importante et de servir les cybercriminels comme moyen de propagation efficace.

Quant à la tactique consistant à abuser de sites légitimes pour implanter des charges utiles intermédiaires, cela montre que les menaces peuvent se cacher dans des endroits inattendus et apparemment inoffensifs, défiant les paradigmes de sécurité conventionnels.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *