Des logiciels malveillants PlugX chinois cachés dans vos périphériques USB ?

C’est à l’occasion d’une intervention pour répondre à un incident lié à Black Basta que des experts ont découvert des outils et échantillons de logiciels malveillants sur les machines de la victime, y compris le logiciel malveillant GootLoader, l’outil des red teams Brute Ratel C4 et un ancien échantillon de logiciel malveillant PlugX. Le logiciel malveillant PlugX s’est démarqué car cette variante infecte tous les périphériques multimédias USB amovibles connectés tels que les lecteurs de disquettes, les clés USB ou les lecteurs flash et tous les systèmes supplémentaires auxquels l’USB est ensuite branché.

Ce logiciel malveillant PlugX masque également les fichiers dans un périphérique USB à l’aide d’une technique nouvelle qui fonctionne même sur les systèmes d’exploitation Windows (SE) les plus récents. Cela signifie que les fichiers malveillants ne peuvent être consultés que sur un système d’exploitation (*nix) de type Unix ou en montant le périphérique USB dans un outil d’analyse forensique.

L’Unit 42 a également découvert une variante similaire de PlugX dans VirusTotal qui infecte les périphériques USB et copie tous les fichiers Adobe PDF et Microsoft Word de l’hôte. Il place ces copies dans un dossier caché sur le périphérique USB créé par le logiciel malveillant. Il n’est pas rare que plusieurs échantillons de logiciels malveillants soient découverts au cours d’une enquête, comme cela s’est produit dans ce cas précis avec GootLoader, Brute Ratel C4 et PlugX. De nombreux acteurs de la menace compromettent les cibles et peuvent coexister simultanément sur la machine affectée.

PlugX

Parce que l’Unit 42 ne peut pas dire de manière concluante si ces échantillons de logiciels malveillants ont été laissés par un groupe ou plusieurs, nous ne pouvons pas attribuer ces outils au groupe de rançongiciels Black Basta. Cependant, la version de Brute Ratel C4 utilisée dans ce cas est la même que celle rapportée par Trend Micro, qui impliquait également le groupe de rançongiciels Black Basta.

PlugX est utilisé par plusieurs groupes de cybercriminels, notamment certains en lien avec la Chine. Il existe depuis plus d’une décennie et a été observé dans certaines cyberattaques très médiatisées, y compris aux Etats-Unis lors de la cyberattaque contre l’Office Gouvernementale de la gestion du personnel en 2015 (OPM/Wired).

Historiquement, une infection PlugX commence par détourner une application logicielle connue et fiable, signée numériquement pour charger une charge utile cryptée créée par l’acteur. Cette technique est utilisée depuis 2010 et est répertoriée dans les techniques MITRE ATT&CK en tant que Hijack execution flow DLL-Side loading ID : T1574.002 Sub-technique T1574.

Dans ce cas, les acteurs de la menace ont décidé de détourner un outil de débogage open source populaire et gratuit pour Windows appelé x64dbg, qui est utilisé par la communauté d’analyse des logiciels malveillants.

La technique utilisée par le logiciel malveillant PlugX pour masquer des fichiers dans un périphérique USB consiste à utiliser un certain caractère Unicode. Cela empêche l’Explorateur Windows et le shell de commande (cmd.exe) d’afficher la structure de répertoire USB et tous les fichiers, les cachant à la victime.