L’acteur chinois du cyberespionnage connu sous le nom de Dragon Camaro a été observé en train d’exploiter une nouvelle souche de logiciels malveillants auto-propagés qui se propagent via des clés USB compromises.
« Alors que leur objectif principal était traditionnellement les pays d’Asie du Sud-Est, cette dernière découverte révèle leur portée mondiale et met en évidence le rôle alarmant que jouent les clés USB dans la propagation des logiciels malveillants », a déclaré Check Point dans un nouveau communiqué. recherche partagé avec The Hacker News.
La société de cybersécurité, qui a trouvé des preuves d’infections par des logiciels malveillants USB au Myanmar, en Corée du Sud, en Grande-Bretagne, en Inde et en Russie, a déclaré que les découvertes sont le résultat d’un cyberincident sur lequel elle a enquêté dans un hôpital européen anonyme au début de 2023.
L’enquête a révélé que l’entité n’était pas directement ciblée par l’adversaire mais avait plutôt subi une brèche via la clé USB d’un employé, qui a été infectée lorsqu’elle a été branchée sur l’ordinateur d’un collègue lors d’une conférence en Asie.
« En conséquence, à son retour à l’établissement de santé en Europe, l’employé a introduit par inadvertance la clé USB infectée, ce qui a entraîné la propagation de l’infection aux systèmes informatiques de l’hôpital », a déclaré la société.
Camaro Dragon partage des similitudes tactiques avec celles des clusters d’activités suivis comme Mustang Panda et LuminousMoth, l’équipe adverse étant récemment liée à une porte dérobée basée sur Go appelée TinyNote et à un implant de micrologiciel de routeur malveillant nommé HorseShell.
La dernière chaîne d’infection comprend un lanceur Delphi connu sous le nom de HopperTick qui se propage via des clés USB et sa charge utile principale appelée WispRider, qui est responsable de l’infection des appareils lorsqu’ils sont connectés à une machine.
« Lorsqu’une clé USB bénigne est insérée dans un ordinateur infecté, le logiciel malveillant détecte un nouveau périphérique inséré dans le PC et manipule ses fichiers, créant plusieurs dossiers cachés à la racine de la clé », ont déclaré les chercheurs de Check Point.
WispRider, en plus d’infecter l’hôte actuel si ce n’est déjà fait, est chargé de communiquer avec un serveur distant, de compromettre tout périphérique USB nouvellement connecté, d’exécuter des commandes arbitraires et d’effectuer des opérations sur les fichiers.
Certaines variantes de WispRider fonctionnent également comme une porte dérobée avec des capacités pour contourner une solution antivirus indonésienne appelée Smadav ainsi que pour recourir au chargement latéral de DLL en utilisant des composants de logiciels de sécurité comme G-DATA Total Security.
Une autre charge utile post-exploitation livrée avec WispRider est un module de voleur appelé moniteur de disque (HPCustPartUI.dll) qui organise les fichiers avec des extensions prédéfinies (par exemple, docx, mp3, wav, m4a, wma, aac, cda et mid) pour l’exfiltration.
Ce n’est pas la première fois que des acteurs chinois de la menace sont observés en train de tirer parti des périphériques USB comme vecteur d’infection pour atteindre des environnements bien au-delà de la portée des principaux intérêts de l’acteur de la menace.
En novembre 2022, Mandiant, propriété de Google, a attribué UNC4191, un acteur menaçant avec un lien présumé avec la Chine, à une série d’attaques d’espionnage aux Philippines qui ont conduit à la distribution de logiciels malveillants tels que MISTCLOAK, DARKDEW et BLUEHAZE.
Un rapport ultérieur de Trend Micro en mars 2023 a révélé des chevauchements entre UNC4191 et Mustang Panda, reliant ce dernier à l’utilisation de MISTCLOAK et BLUEHAZE dans des campagnes de harponnage ciblant les pays d’Asie du Sud-Est.
Ce développement est un signe que les acteurs de la menace modifient activement leurs outils, tactiques et procédures (TTP) pour contourner les solutions de sécurité, tout en s’appuyant simultanément sur une vaste collection d’outils personnalisés pour exfiltrer les données sensibles des réseaux victimes.
« Le groupe Camaro Dragon APT continue d’utiliser des périphériques USB comme méthode pour infecter des systèmes ciblés, combinant efficacement cette technique avec d’autres tactiques établies », ont déclaré les chercheurs.