Un groupe de piratage inconnu est à l'origine d'une nouvelle menace dangereuse appelée le logiciel malveillant USBCulprit. Il est conçu pour infiltrer silencieusement les systèmes sécurisés qui sont air-entaillé — cela signifie qu'ils ne seront pas connectés au réseau externe. Plusieurs pays sont actuellement ciblés, principalement situé en Asie.
Les ordinateurs Air-Gapped espionnés par le malware avancé USBCulprit
Un groupe ou un individu de piratage inconnu a créé une nouvelle menace dangereuse identifiée par de nombreux experts en sécurité Logiciel malveillant USBCulprit. En comparaison avec d'autres virus à usage général, celui-ci est conçu pour pénétrer dans les soi-disant dispositifs informatiques à air. Ce sont généralement des infrastructures critiques, serveurs et autres équipements informatiques de haut niveau délibérément isolés des autres équipements du réseau.
Plusieurs noms sont utilisés pour désigner le pirate informatique et / ou le malware lui-même: Goblin Panda, Cycldek et Conimes, grâce aux échantillons analysés, nous pouvons vérifier qu'un ensemble complet de fonctionnalités a été intégré. Plusieurs catégories sont utilisées pour décrire les actions individuelles pouvant être entreprises par le logiciel malveillant:
- Interaction des fichiers — Cela inclut toutes les actions liées à la manipulation de données de toute nature: création de fichiers et modification et suppression de fichiers existants. Cela s'étend également aux répertoires.
- Le vol de données — Les pirates peuvent utiliser le malware USBCulprit pour voler des fichiers sur les disques durs connectés localement, périphériques de stockage amovibles et partages réseau lorsqu'ils sont disponibles.
- Tâches liées à la sécurité — Cette catégorie comprend les principales méthodes utilisées pour aider le virus à s'infiltrer dans les systèmes cibles.
À l'heure actuelle, la stratégie d'infection exacte utilisée par les pirates informatiques à l'origine de la menace n'est toujours pas connue.. Les chercheurs croient que le le moteur principal repose sur un support amovible USB. Cela signifie qu'un lecteur flash USB ou un lecteur externe infecté doit être introduit dans un réseau qui peut atteindre l'ordinateur à espace restreint cible..
Informations supplémentaires sur le logiciel malveillant USBCulprit
Les infections qui conduisent au déploiement du malware USBCulprit sont causées par des périphériques amovibles infectés ou une activité virale antérieure. Les pirates utilisent une menace appelée NewCore comme principal mécanisme de livraison de la charge utile. Il est lui-même divisé en deux versions - Bleu Noyau et RedCore. Ils comprennent fonctionnalité enregistreur de frappe conçu pour enregistrer les frappes et les mouvements de souris saisis par les utilisateurs. Une autre fonctionnalité importante est l’intégration d’un Fonction de vol RDP — il détectera si un logiciel de connexion au bureau à distance est installé par les administrateurs de l'ordinateur et volera les informations d'identification. Cela permettra aux pirates de prendre le contrôle des hôtes via une application légitime. Du point de vue de l'administrateur réseau, cela sera signalé comme une tentative de connexion ordinaire et ne déclenchera aucune alarme qu'un intrus a accédé au réseau.
Ces deux outils incluent également la fonction livrer le malware USBCulprit dans le cadre de leur séquence de comportement. L'une des commandes associées à cette menace est la collection de documents qui sera ensuite exporté vers le périphérique de stockage amovible connecté. Les pirates se concentrent sur un stratégie de mouvement latéral ce qui signifie qu'ils s'appuieront sur la clé USB infectée pour effectuer d'autres infections.
Une autre approche entreprise par les pirates derrière la menace est la masquage des composants de fichier — les pirates les feront apparaître car ils font partie d'un programme antivirus. Cela masquera le chargeur et le virus réel.
Les échantillons analysés indiquent que le malware sera chargé via un mécanisme appelé Détournement de l'ordre de recherche de DLL — cela masquera la présence du code du virus et se lancera silencieusement en arrière-plan. En ce moment, le la tâche principale est de détourner les données sensibles puis placez-le dans un fichier d'archive RAR chiffré. Il sera ensuite copié sur le périphérique de stockage amovible d'où il sera acquis par les pirates. Les futures mises à jour devraient permettre le transfert des données via la connexion Trojan.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: