Le malware USBCulprit cible les appareils isolés

Le groupe APT Cycldek a ajouté un malware auparavant inconnu et baptisé USBCulprit à son arsenal. Il cible les appareils isolés.

Cycldek (alias Goblin Panda, APT 27 et Conimes) cible les gouvernements d’Asie du Sud-Est depuis 2013, selon une analyse de Kaspersky, et a progressivement ajouté des outils plus sophistiqués au fil du temps. USBCulprit a été déployé contre des cibles au Vietnam, en Thaïlande et au Laos, selon la firme.

“USBCulprit possède à la fois un mouvement latéral (capacité de se déplacer à travers le réseau pour obtenir des données ciblées) et des capacités de vol de données”, ont déclaré les analystes de Kaspersky dans une étude.

Ils ont ajouté que les autres fonctionnalités d’USBCulprit suggèrent qu’il a été conçu pour atteindre des machines physiquement isolées, où le seul moyen de transférer des données entrantes et sortantes est avec des supports amovibles tels qu’une clé USB.

usbculprit

“Une fois installé, USBCulprit scanne différents chemins sur l’appareil infecté, collectant des documents qui possèdent certaines extensions”, selon l’analyse. «Ces documents sont ensuite transférés sur des clés USB connectées au système. Cela suggère que le malware a été conçu pour atteindre les machines isolées, ou celles qui ne sont pas directement connectées à Internet ou à tout autre ordinateur connecté à Internet. »

Routine d’infection d’USBCulprit

En analysant le code, Kaspersky a constaté que la première version d’USBCulprit remonte à 2014, avec le dernier échantillon horodaté l’année dernière.

La plupart des attaques observées commencent par des e-mails d’hameçonnage contenant des documents RTF avec des thèmes politiques qui exploitent des vulnérabilités connues. Une fois compromises, les victimes sont infectées par un malware appelé NewCore RAT.

“Ce malware se compose de deux variantes avec des capacités avancées de vol de données: BlueCore et RedCore”, selon Kaspersky. “BlueCore semble avoir été déployé contre des cibles diplomatiques et gouvernementales au Vietnam, tandis que RedCore a d’abord été déployé au Vietnam avant d’être trouvé au Laos.”

Les deux «Cores» téléchargent à leur tour USBCulprit (et d’autres outils, tels qu’une porte dérobée personnalisée, un outil pour voler des cookies et un outil qui vole les mots de passe des bases de données de navigateur basées sur Chromium). Le malware est implanté comme un fichier DLL légitime.

“Ces applications comprenaient des composants AV comme wsc_proxy.exe (service de correction Avast), qcconsol.exe et mcvsshld.exe (composants McAfee), ainsi que des utilitaires Microsoft et Google légitimes comme le compilateur de ressources (rc.exe) et les mises à jour Google (googleupdate .exe) », ont expliqué les chercheurs. «Ces outils pourraient être utilisés afin de contourner les mécanismes de sécurité faibles comme la liste blanche des applications, d’accorder au malware des autorisations supplémentaires lors de l’exécution ou de compliquer la réponse aux incidents.»

Sous le capot d’USBCulprit

Une fois USBCulprit chargé dans la mémoire et exécuté, il fonctionne en trois phases: analyse et reconnaissance des données, exfiltration des données vers ou depuis un périphérique USB et mouvement latéral.

À l’étape de la collecte des données, le logiciel malveillant appelle deux fonctions, nommées «CUSB::RegHideFileExt» et «CUSB::RegHideFile», qui modifient les clés de registre pour masquer les extensions de fichiers dans Windows et vérifient que les fichiers masqués ne sont pas affichés sur l’écran de l’utilisateur . Il analyse également la machine infectée pour énumérer les fichiers qu’il a l’intention de voler à l’aide d’une fonction nommée «CUSB::USBFindFile». Le malware recherche les extensions suivantes: *.pdf; *.Doc; *.Wps; *.docx; *.ppt; *.Xls; *.Xlsx; *.Pptx; *.Rtf.

“Les fichiers choisis sont ensuite regroupés dans des archives RAR cryptées”, ont écrit les chercheurs, ajoutant que “les documents recherchés peuvent être filtrés par leur date de modification”.

spyware

La prochaine étape est la phase de vol d’informations, qui comprend également des fonctions de capture de données USB. Le malware tente d’intercepter la connexion de nouveaux médias et de vérifier qu’elle correspond à un lecteur amovible. Lorsqu’il détecte qu’un périphérique USB est connecté, le logiciel malveillant détermine ensuite si les archives RAR doivent être copiées sur le lecteur amovible ou si des données supplémentaires doivent être extraites de celui-ci et copiées localement.

«Pour ce faire, un répertoire nommé« $Recyc1e.Bin »sera recherché dans le lecteur et s’il n’est pas trouvé, sera créé», selon l’analyse. «Ce répertoire sera utilisé comme chemin cible pour copier des fichiers sur le lecteur ou chemin source pour les obtenir à partir de celui-ci. Pour comprendre dans quelle direction la copie du fichier doit avoir lieu, un fichier marqueur spécial nommé «1.txt» est recherché localement. S’il existe, le logiciel malveillant s’attendra à trouver le répertoire «$Recyc1e.Bin» susmentionné dans le lecteur contenant des archives de documents précédemment volées et tenterait de le copier sur le disque. Sinon, les fichiers d’archives locaux seront copiés dans le même répertoire du disque vers le lecteur. »

Dans la phase finale de mouvement latéral, l’existence d’un autre fichier de marqueurs nommé ‘2.txt’ sera vérifiée localement pour décider si un mouvement latéral doit être effectué ou non. USBCulprit est également capable de se mettre à jour ou d’étendre son exécution avec d’autres modules «en recherchant l’existence de fichiers prédéfinis dans l’USB et en les exécutant».

De plus, certaines variantes émettent des commandes pour collecter divers éléments d’informations sur le réseau hôte, a constaté Kaspersky: «Celles-ci sont enregistrées dans un fichier qui est ensuite transféré avec les données volées sur l’USB et peuvent aider les attaquants à déterminer si la machine dans laquelle le malware était exécutés fait en effet partie d’un réseau isolé. »

L’effet isolé

Les chercheurs ont noté que USBCuprit utilise uniquement des supports amovibles comme moyen de transfert de données entrantes et sortantes. Cela dit, le malware ne s’exécute pas automatiquement lors de la connexion USB, ce qui “nous laisse croire que le malware est censé être exécuté manuellement par un opérateur humain physiquement présent.

Dans une infection, «nous avons vu que le même échantillon a été exécuté à partir de divers emplacements de lecteur, ce qui suggère qu’il était effectivement réparti», selon l’analyse. “Ceci, ainsi que les fichiers très spécifiques que le logiciel malveillant recherche comme extensions exécutables et qui n’ont pu être trouvés comme des artefacts ailleurs dans notre enquête, indiquent qu’un facteur humain est nécessaire pour aider au déploiement du logiciel malveillant dans les réseaux des victimes.”

Dans l’ensemble, les résultats montrent que Cycldek augmente régulièrement la sophistication d’USBCulprit.

“Notre analyse a montré que ce groupe n’est pas l’acteur mineur et moins avancé qu’on le croyait auparavant”, a déclaré Mark Lechtik, chercheur principal en sécurité chez Kaspersky GReAT, dans un communiqué de presse. «En fait, il a une présence beaucoup plus large en Asie du Sud-Est et un ensemble d’outils beaucoup plus sophistiqué que ne le laissaient entendre les premiers rapports.»

«Il est également probable que les attaques de Cycldek contre des cibles prestigieuses en Asie du Sud-Est se poursuivent», a ajouté Giampaolo Dedola, chercheur principal en sécurité chez Kaspersky GReAT. «Non seulement l’activité de ce groupe n’a pas cessé depuis 2013, mais elle continue d’évoluer en ajoutant de nouveaux logiciels malveillants et en ciblant de nouveaux pays. Nous continuerons de surveiller l’activité de Cycldek. »

Si cet article vous a plu, jetez un œil à notre article précédent.