Un acteur menaçant avec un lien présumé avec la Chine a été lié à une série d’attaques d’espionnage aux Philippines qui s’appuient principalement sur des périphériques USB comme vecteur d’infection initial.
Mandiant, qui fait partie de Google Cloud, suit le cluster sous son surnom non catégorisé UNC4191. Une analyse des artefacts utilisés dans les intrusions indique que la campagne remonte à septembre 2021.
« Les opérations UNC4191 ont affecté une gamme d’entités des secteurs public et privé principalement en Asie du Sud-Est et s’étendant aux États-Unis, en Europe et à l’APJ », ont déclaré les chercheurs Ryan Tomcik, John Wolfram, Tommy Dacanay et Geoff Ackerman. a dit.
« Cependant, même lorsque les organisations ciblées étaient basées dans d’autres endroits, les systèmes spécifiques ciblés par l’UNC4191 se sont également avérés physiquement situés aux Philippines. »
Le recours à des clés USB infectées pour propager le logiciel malveillant est inhabituel, voire nouveau. Le ver Raspberry Robin, qui a évolué dans un service d’accès initial pour les attaques ultérieures, est connu pour utiliser des clés USB comme point d’entrée.
La société de renseignement sur les menaces et de réponse aux incidents a déclaré que les attaques avaient conduit au déploiement de trois nouvelles familles de logiciels malveillants appelées MISTCLOAK, DARKDEW, BLUEHAZE et Ncatce dernier étant un utilitaire de mise en réseau en ligne de commande utilisé pour créer un shell inversé sur le système victime.
MISTCLOAK, pour sa part, est activé lorsqu’un utilisateur branche un périphérique amovible compromis sur un système, agissant comme une rampe de lancement pour une charge utile cryptée appelée DARKDEW qui est capable d’infecter les lecteurs amovibles, proliférant efficacement les infections.
« Le logiciel malveillant se réplique en infectant de nouveaux lecteurs amovibles connectés à un système compromis, permettant aux charges utiles malveillantes de se propager à d’autres systèmes et potentiellement de collecter des données à partir de systèmes isolés », ont expliqué les chercheurs.
Le compte-gouttes DARKDEW sert en outre à lancer un autre exécutable (« DateCheck.exe »), une version renommée d’une application légitime et signée connue sous le nom de « Razer Chromium Render Process » qui invoque le malware BLUEHAZE.
BLUEHAZE, un lanceur écrit en C/C++, fait avancer la chaîne d’attaque en démarrant une copie de Ncat pour créer un shell inversé vers une adresse de commande et de contrôle (C2) codée en dur.
« Nous pensons que cette activité présente les opérations chinoises pour obtenir et maintenir l’accès à des entités publiques et privées à des fins de collecte de renseignements liés aux intérêts politiques et commerciaux de la Chine », ont déclaré les chercheurs.