Ver LitterDrifter
Des agents de cyberespionnage liés au Service fédéral de sécurité (FSB) russe ont été détectés en train d'utiliser un ver se propageant via USB nommé LitterDrifter dans des attaques dirigées contre des entités ukrainiennes.
L'entité qui orchestre cette offensive est identifiée comme Gamaredon , également connue sous des pseudonymes tels que Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm et Winterflounder. Les stratégies récentes employées par ces pirates informatiques caractérisent le groupe comme menant de vastes campagnes, suivies d'efforts méticuleux de collecte de données visant des cibles spécifiques. La sélection de ces cibles est présumée être motivée par des objectifs d’espionnage.
Table des matières
LitterDrifter s'est propagé au-delà de ses objectifs initiaux
Le ver LitterDrifter possède deux fonctionnalités principales : il diffuse automatiquement le malware via des clés USB connectées et établit la communication avec les serveurs de commande et de contrôle (C2, C&C) de l'acteur malveillant. On soupçonne qu’il s’agit d’une avancée par rapport à un ver USB basé sur PowerShell précédemment révélé, que les chercheurs ont dévoilé en juin 2023.
Fabriqué en VBS, le module spreader se charge de distribuer le ver discrètement au sein d'une clé USB, accompagné d'un leurre LNK aux noms attribués aléatoirement. La nomenclature « LitterDrifter » est dérivée du composant d'orchestration initial nommé « trash.dll ».
Gamaredon adopte une approche distincte du C&C, en utilisant des domaines comme espaces réservés pour les adresses IP réelles utilisées comme serveurs C2.
De plus, LitterDrifter présente la capacité de se connecter à un serveur C&C extrait d'un canal Telegram, une tactique constamment employée par l'acteur malveillant depuis début 2023. Les experts en cybersécurité ont identifié des signes potentiels d'infection au-delà de l'Ukraine, avec des détections indiquant une activité aux États-Unis et au Vietnam. , Chili, Pologne, Allemagne et Hong Kong.
Gamaredon fait évoluer ses techniques d'attaque
Tout au long de l’année en cours, Gamaredon a maintenu une présence active, adaptant constamment ses stratégies d’attaque. En juillet 2023, les prouesses rapides de l’adversaire en matière d’exfiltration de données sont devenues évidentes, puisque l’acteur malveillant a réussi à transmettre des informations sensibles en seulement une heure après la compromission initiale.
Il est évident que LitterDrifter a été spécialement conçu pour faciliter une vaste opération de collecte. Utilisant des techniques simples mais efficaces, le malware garantit qu’il peut atteindre un large éventail de cibles dans la région.
Les acteurs menaçants affichent une activité accrue depuis le début de la guerre russo-ukrainienne
Les événements qui se déroulent coïncident avec la révélation par le Centre national de coordination de la cybersécurité (NCSCC) d'Ukraine d'incidents de pirates informatiques russes parrainés par l'État orchestrant des attaques contre des ambassades à travers l'Europe, notamment en Italie, en Grèce, en Roumanie et en Azerbaïdjan.
Attribuées à APT29 (également connu sous le nom de Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard et bien d'autres), ces intrusions exploitent la vulnérabilité WinRAR récemment révélée (CVE-2023-38831) via des leurres trompeurs, tels que des allégations de BMW à vendre, un thème précédemment employé par l’acteur menaçant.
La séquence d'attaque démarre par la distribution d'e-mails de phishing aux victimes contenant un lien vers un fichier ZIP spécialement conçu. Au lancement, la faille est exploitée pour récupérer un script PowerShell depuis un serveur distant hébergé sur Ngrok. L’exploitation récurrente de la vulnérabilité CVE-2023-38831 par des groupes de piratage des services de renseignement russes souligne sa popularité et sa sophistication croissantes.
En outre, le CERT-UA (l'équipe ukrainienne d'intervention en cas d'urgence informatique) a divulgué des informations sur une campagne de phishing diffusant des archives RAR dangereuses. Ces archives prétendent contenir un document PDF du Service de sécurité ukrainien (SBU). Cependant, en réalité, ils hébergent un exécutable qui conduit au déploiement du Remcos RAT .
