En analysant une attaque de ransomware, l'unité 42 a trouvé le malware PlugX. Cette variante identifie d'abord tous les périphériques de support amovibles USB connectés, tels que les lecteurs de disquette, de pouce ou flash, puis infecte tous les supports insérés. Si une clé USB infectée est connectée, l'infection se propage immédiatement à tous les périphériques USB connectés.
L'unité 42 de Palo Alto Networks a publié une enquête sur les outils que l'équipe a observés en réponse à une attaque de ransomware par le groupe de hackers Black Basta. Au cours de l'enquête, Palo Alto Networks a identifié plusieurs outils intéressants sur les machines des victimes, notamment : le logiciel malveillant GootLoader, l'outil d'équipe rouge Brute Ratel C4 et un ancien échantillon de logiciel malveillant PlugX.
Les logiciels malveillants infectent tous les supports USB
Le logiciel malveillant PlugX a particulièrement attiré l'attention d'Unit 42, car cette variante infecte tous les périphériques multimédia amovibles USB connectés tels que les disquettes, les clés USB ou les clés USB, ainsi que tout autre système auquel le périphérique USB est ensuite connecté.
Ce malware PlugX cache également les fichiers des attaquants dans un périphérique USB en utilisant une nouvelle technique qui fonctionne même sur les derniers systèmes d'exploitation Windows (OS) au moment de la rédaction de cet article. Cela signifie que les fichiers malveillants ne peuvent être visualisés que sur un système d'exploitation de type Unix (*nix) ou en montant le périphérique USB dans un outil médico-légal.
Une nouvelle variante masque les fichiers Office infectés
De plus, l'unité 42 a découvert une variante similaire de PlugX dans VirusTotal avec la possibilité supplémentaire de copier tous les documents Adobe PDF et Microsoft Word de l'hôte infecté vers le dossier caché du périphérique USB créé par le malware PlugX. La découverte de ces échantillons montre que, du moins pour certains attaquants techniquement avertis, PlugX évolue toujours - et qu'il reste une menace active.
Le logiciel malveillant PlugX existe depuis plus d'une décennie et a été couramment associé à des groupes APT chinois dans le passé. Au fil des ans, d'autres groupes d'attaquants ont adopté et déployé ce logiciel malveillant, des États-nations aux acteurs du ransomware.
Conclusions de l'enquête
- Cette variante PlugX est vermifuge et infecte les périphériques USB de telle manière qu'elle se cache du système de fichiers Windows. Un utilisateur ne saurait pas que son périphérique USB est infecté et pourrait être utilisé pour l'exfiltration de données du réseau.
- La variante de logiciel malveillant PlugX utilisée dans cette attaque infecte tous les périphériques multimédias amovibles USB connectés tels que les disquettes, les clés USB ou les lecteurs flash, ainsi que tous les systèmes supplémentaires auxquels le périphérique USB est ensuite connecté.
- L'unité 42 a détecté une variante similaire de PlugX dans VirusTotal qui infecte les périphériques USB et copie tous les fichiers Adobe PDF et Microsoft Word à partir de l'hôte. Ces copies sont placées dans un dossier caché sur le périphérique USB créé par le logiciel malveillant.
- PlugX est un implant de deuxième étape utilisé non seulement par certains groupes d'origine chinoise, mais aussi par plusieurs groupes cybercriminels. Il existe depuis plus d'une décennie et a été observé dans certaines cyberattaques très médiatisées, notamment l'intrusion de l'Office of Personnel Management (OPM) du gouvernement américain en 2015.
- Tout hôte infecté par cette variante du malware PlugX est constamment à la recherche de nouveaux lecteurs USB amovibles à infecter. Ce logiciel malveillant PlugX cache également les fichiers de l'attaquant dans un périphérique USB à l'aide d'une nouvelle technique qui garantit que les fichiers malveillants ne peuvent être visualisés que sur un système d'exploitation *nix ou en montant le périphérique USB dans un outil médico-légal. Cette capacité à échapper à la détection permet au logiciel malveillant PlugX de se propager davantage et de pénétrer potentiellement les réseaux écoutés.
- Le Brute Ratel C4 utilisé dans ce cas est la même charge utile Badger (implant) précédemment signalée par Trend Micro, qui affecte également le groupe de rançongiciels Black Basta.
À propos des réseaux de Palo Alto Palo Alto Networks, le leader mondial des solutions de cybersécurité, façonne l'avenir basé sur le cloud avec des technologies qui transforment la façon dont les gens et les entreprises travaillent. Notre mission est d'être le partenaire privilégié en matière de cybersécurité et de protéger notre mode de vie numérique. Nous vous aidons à relever les plus grands défis de sécurité au monde grâce à une innovation continue tirant parti des dernières avancées en matière d'intelligence artificielle, d'analyse, d'automatisation et d'orchestration. En fournissant une plate-forme intégrée et en renforçant un écosystème croissant de partenaires, nous sommes les leaders dans la protection de dizaines de milliers d'entreprises sur les clouds, les réseaux et les appareils mobiles. Notre vision est un monde où chaque jour est plus sûr que le précédent.