La société de cybersécurité Mandiant a récemment découvert un acteur menaçant motivé par des raisons financières., UNC4990, en utilisant l'USB dispositifs pour les infections initiales. Le groupe exploite des plateformes en ligne légitimes telles que GitHub, Vimeo, et Ars Technica. L’acteur malveillant cache intelligemment les charges utiles codées dans du contenu apparemment inoffensif sur ces plateformes., éviter les soupçons et tirer parti de réseaux de diffusion de contenu fiables.
Un aperçu des attaques basées sur l'USB UNC4990
Les attaquants lancent leur campagne via des périphériques USB contenant des fichiers de raccourci LNK malveillants, selon le rapport. Lorsque les victimes exécutent le raccourci par inadvertance, un script PowerShell nommé explorer.ps1 est activé. Ce script télécharge une charge utile intermédiaire, qui décode en une URL pour récupérer le téléchargeur de logiciels malveillants nommé « EMPTYSPACE.’
UNC4990 utilise diverses méthodes d'hébergement pour les charges utiles intermédiaires, y compris les fichiers texte codés sur GitHub et GitLab. Cependant, ils ont modifié leurs stratégies pour abuser de Vimeo et d'Ars Technica pour héberger des charges utiles de chaînes codées en Base64 et cryptées en AES.. Notamment, les attaquants n'exploitent pas les vulnérabilités de ces plates-formes mais utilisent des fonctionnalités régulières telles que les profils de forum Ars Technica et les descriptions vidéo Vimeo..
Ces charges utiles, chaînes de texte inoffensives sur les plateformes d'hébergement, jouer un rôle critique dans la chaîne d’attaque, faciliter le téléchargement et l’exécution de logiciels malveillants. En intégrant des charges utiles dans du contenu légitime et en utilisant des plateformes réputées, UNC4990 échappe aux soupçons et profite des réseaux de confiance, ce qui rend difficile pour les systèmes de sécurité de les signaler comme suspects.
La chaîne d'attaque UNC4990 progresse avec le déploiement de QUIETBOARD, une porte dérobée sophistiquée avec des capacités diverses. Cette porte dérobée à plusieurs composants, une fois activé, exécute les commandes du système de commande et de contrôle (C2) serveur, modifie le contenu du presse-papiers pour le vol de crypto-monnaie, infecte les clés USB pour propager des logiciels malveillants, capture des captures d'écran pour le vol d'informations, et rassemble des informations détaillées sur le système et le réseau. QUIETBOARD fait preuve de persistance lors des redémarrages du système et prend en charge l'ajout de nouvelles fonctionnalités via des modules supplémentaires.
Malgré les mesures de prévention conventionnelles, Malware basé sur USB continue de constituer une menace importante, servir de moyen de propagation efficace pour les cybercriminels. La tactique unique de UNC4990, exploiter des plates-formes apparemment inoffensives pour les charges utiles intermédiaires, remet en question les paradigmes de sécurité conventionnels et souligne la nécessité d’une vigilance continue dans le paysage en constante évolution de la cybersécurité.