Le FSB russe déploie le ver USB LitterDrifter pour attaquer des entités ukrainiennes

Check Point, qui a détaillé les dernières tactiques de Gamaredon (alias Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm et Winterflounder), a déclaré que le groupe s’engageait dans des campagnes à grande échelle suivies « d’efforts de collecte de données visant des cibles spécifiques, dont la sélection est probablement motivée par des objectifs d’espionnage ».
Le ver LitterDrifter présente deux caractéristiques principales : il diffuse automatiquement le logiciel malveillant par l’intermédiaire de clés USB connectées et il communique avec les serveurs de commande et de contrôle (C&C) de l’acteur de la menace. Il est également soupçonné d’être une évolution d’un ver USB basé sur PowerShell qui a été divulgué par Symantec en juin 2023.
Écrit en VBS, le module de diffusion est chargé de distribuer le ver sous la forme d’un fichier caché dans une clé USB avec un leurre LNK auquel sont attribués des noms aléatoires. Le malware est appelé LitterDrifter car le composant d’orchestration initial est nommé « trash.dll ».
« L’approche de Gamaredon à l’égard du C&C est assez unique, car il utilise des domaines comme substitut aux adresses IP circulantes réellement utilisées comme serveurs C2 », explique Check Point.
LitterDrifter est également capable de se connecter à un serveur C&C extrait d’un canal Telegram, une tactique qu’il a utilisée à plusieurs reprises depuis au moins le début de l’année.
La société de cybersécurité a déclaré avoir également détecté des signes d’infection possible en dehors de l’Ukraine, en se basant sur des soumissions VirusTotal provenant des États-Unis, du Vietnam, du Chili, de la Pologne, de l’Allemagne et de Hong Kong.
Gamaredon a eu une présence active cette année, tout en faisant évoluer ses méthodes d’attaque. En juillet 2023, les capacités d’exfiltration rapide de données de l’adversaire ont été mises en évidence, l’acteur de la menace transmettant des informations sensibles moins d’une heure après la compromission initiale.
« Il est clair que LitterDrifter a été conçu pour soutenir une opération de collecte à grande échelle », conclut l’entreprise. « Il s’appuie sur des techniques simples mais efficaces pour atteindre le plus grand nombre possible de cibles dans la région.
Ce développement intervient alors que le Centre national ukrainien de coordination de la cybersécurité (NCSCC) a révélé des attaques orchestrées par des pirates informatiques parrainés par l’État russe et visant des ambassades en Europe, notamment en Italie, en Grèce, en Roumanie et en Azerbaïdjan.
Les intrusions attribuées à APT29 (alias BlueBravo Cloaked Ursa Cozy Bear Iron Hemlock Midnight Blizzard et The Dukes) impliquent l’exploitation de la vulnérabilité WinRAR CVE-2023 38831 récemment révélée, par le biais de leurres d’apparence anodine prétendant que des BMW sont à vendre – un thème qu’il a déjà utilisé par le passé
La chaîne d’attaque commence par l’envoi aux victimes de courriels de phishing contenant un lien vers un fichier ZIP spécialement conçu qui, une fois lancé, exploite la faille pour récupérer un script PowerShell à partir d’un serveur distant hébergé sur Ngrok.
« Une tendance inquiétante à l’exploitation de la vulnérabilité CVE 2023 38831 par des groupes de pirates des services de renseignement russes démontre sa popularité et sa sophistication croissantes », a déclaré le NCSCC.

En début de semaine, le Computer Emergency Response Team of Ukraine (CERT UA) a mis au jour une campagne de phishing propageant des archives RAR malveillantes qui se font passer pour des documents PDF du Service de sécurité de l’Ukraine (SBU), mais qui sont en réalité des exécutables conduisant au déploiement du RAT Remcos.
Le CERT UA suit l’activité sous le nom de UAC 0050 qui a également été liée à une autre vague de cyberattaques visant les autorités de l’État d’un pays.

Inscrivez-vous gratuitement et commencez à recevoir une dose quotidienne d’informations et de conseils sur la cybersécurité.