Les cyberattaques utilisant des clés USB infectées comme vecteur d’accès initial ont été multipliées par trois au premier semestre 2023,
C’est selon les nouvelles découvertes de Mandiant, qui détaillent deux de ces campagnes – SOGU et SNOWYDRIVE – ciblant à la fois les entités des secteurs public et privé à travers le monde.
SOGU est « l’attaque de cyberespionnage basée sur USB la plus répandue utilisant des clés USB et l’une des campagnes de cyberespionnage les plus agressives ciblant les organisations des secteurs public et privé dans le monde entier dans les secteurs verticaux de l’industrie », la société de renseignement sur les menaces appartenant à Google. a dit.
L’activité a été attribuée à un cluster basé en Chine appelé TEMP.Hex, qui est également suivi sous les noms de Camaro Dragon, Earth Preta et Mustang Panda. Les cibles incluent la construction et l’ingénierie, les services aux entreprises, le gouvernement, la santé, les transports et la vente au détail en Europe, en Asie et aux États-Unis
La chaîne d’infection détaillée par Mandiant présente des points communs tactiques avec une autre campagne Mustang Panda découverte par Check Point, qui a dévoilé une souche de logiciels malveillants auto-propagés appelé WispRider qui se propage via des clés USB compromises et peut potentiellement violer des systèmes isolés.
Tout commence par une clé USB malveillante branchée sur un ordinateur, conduisant à l’exécution de PlugX (alias Korplug), qui décrypte et lance ensuite une porte dérobée basée sur C appelée SOGU qui exfiltre les fichiers d’intérêt, les frappes et les captures d’écran.
SNOWYDRIVE cible les organisations pétrolières et gazières en Asie
Le deuxième cluster à tirer parti du mécanisme d’infiltration USB est UNC4698, qui a sélectionné des organisations pétrolières et gazières en Asie pour fournir le logiciel malveillant SNOWYDRIVE afin d’exécuter des charges utiles arbitraires sur les systèmes piratés.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
« Une fois SNOWYDRIVE chargé, il crée une porte dérobée sur le système hôte, donnant aux attaquants la possibilité d’émettre des commandes système à distance », ont déclaré les chercheurs de Mandiant Rommel Joven et Ng Choon Kiat. « Il se propage également à d’autres clés USB et se propage à travers le réseau. »
Dans ces attaques, la victime est amenée à cliquer sur un fichier piégé qui se fait passer pour un exécutable légitime, activant ainsi une chaîne d’actions malveillantes, en commençant par un compte-gouttes qui établit un pied, suivi de l’exécution de l’implant SNOWYDRIVE.
Certaines des fonctionnalités de la porte dérobée consistent à effectuer des recherches de fichiers et de répertoires, à charger et télécharger des fichiers et à lancer un reverse shell.
« Les organisations devraient accorder la priorité à la mise en œuvre de restrictions d’accès aux périphériques externes tels que les clés USB », ont déclaré les chercheurs. « Si cela n’est pas possible, ils devraient au moins analyser ces appareils à la recherche de fichiers ou de codes malveillants avant de les connecter à leurs réseaux internes. »