LitterDrifter lié au groupe russe de cybercriminalité

Des acteurs russes du cyberespionnage liés au Service fédéral de sécurité (FSB) ont été observés en train d'utiliser un ver se propageant via USB nommé LitterDrifter dans des attaques dirigées contre des entités ukrainiennes. Check Point, qui a décrit les tactiques récentes du groupe connu sous le nom de Gamaredon (également appelé Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm et Winterflounder), les a caractérisés comme menant de vastes campagnes suivies d'efforts ciblés de collecte de données, probablement motivés par objectifs d'espionnage.

Le ver LitterDrifter englobe deux fonctionnalités principales : la propagation automatique du malware via des clés USB connectées et la communication avec les serveurs de commande et de contrôle (C&C) de l'acteur malveillant. Il est soupçonné qu'il s'agit d'une avancée d'un ver USB basé sur PowerShell divulgué par Symantec en juin 2023.

LitterDrifter en détail

Développé en VBS, le module de propagation est chargé de diffuser le ver sous la forme d'un fichier caché dans une clé USB aux côtés d'un fichier leurre LNK aux noms aléatoires. Le nom « LitterDrifter » est dérivé du composant d'orchestration initial nommé « trash.dll ».

L'approche distinctive de Gamaredon en matière de C&C consiste à utiliser des domaines comme espaces réservés pour les adresses IP réelles des serveurs C2 en circulation, comme l'explique Check Point. De plus, LitterDrifter peut se connecter à un serveur C&C obtenu à partir d'un canal Telegram, une tactique régulièrement utilisée par l'acteur menaçant depuis au moins le début de l'année.

La société de cybersécurité a également noté des indications d'infections potentielles au-delà de l'Ukraine, sur la base des soumissions de VirusTotal provenant des États-Unis, du Vietnam, du Chili, de la Pologne, de l'Allemagne et de Hong Kong.

Qu’est-ce qu’un ver malveillant ?

Un ver est un type de logiciel malveillant (malware) conçu pour se répliquer et se propager à d'autres ordinateurs ou appareils de manière autonome, souvent sans intervention humaine. Contrairement aux virus, les vers n'ont pas besoin de s'attacher à des programmes ou fichiers existants pour se propager ; ils peuvent voyager indépendamment à travers les réseaux et les systèmes.

Les principales caractéristiques des vers malveillants sont les suivantes :

• Auto-propagation : les vers sont programmés pour se répliquer et se propager indépendamment sur les appareils ou les réseaux connectés. Ils peuvent exploiter les vulnérabilités des systèmes d’exploitation ou des applications pour infecter d’autres ordinateurs.
• Autonomie : les vers fonctionnent sans intervention humaine directe. Une fois qu'un système est infecté, le ver peut rechercher activement et infecter d'autres systèmes vulnérables sans nécessiter d'action de l'utilisateur.
• Propagation basée sur le réseau : les vers se propagent souvent via des connexions réseau, telles qu'Internet, les réseaux locaux (LAN) ou des supports amovibles tels que les clés USB. Ils peuvent exploiter les faiblesses des protocoles réseau pour passer d'un système à un autre.
• Charge utile : en plus de la réplication, les vers peuvent transporter une charge utile, qui correspond à l'activité malveillante réelle pour laquelle ils sont conçus. Cela peut inclure l’endommagement ou la suppression de fichiers, le vol d’informations ou la facilitation d’autres formes de cyberattaques.
• Persistance : certains vers sont conçus pour rester actifs sur les systèmes infectés pendant une période prolongée, leur permettant ainsi de poursuivre leurs activités malveillantes ou de recevoir des instructions mises à jour d'un serveur de commande et de contrôle distant.