Une nouvelle menace sophistiquée, baptisée « TetrisPhantom », utilise des clés USB sécurisées compromises pour cibler les systèmes gouvernementaux de la région Asie-Pacifique.

Les clés USB sécurisées stockent les fichiers dans une partie cryptée de l’appareil et sont utilisées pour transférer en toute sécurité des données entre les systèmes, y compris ceux situés dans un environnement isolé.

L’accès à la partition protégée est possible grâce à un logiciel personnalisé qui décrypte le contenu en fonction d’un mot de passe fourni par l’utilisateur. L’un de ces logiciels est UTetris.exe, qui est fourni sur une partie non cryptée de la clé USB.

Les chercheurs en sécurité ont découvert des versions trojanisées de l’application UTetris déployées sur des périphériques USB sécurisés dans le cadre d’une campagne d’attaque qui dure depuis au moins quelques années et ciblant les gouvernements de la région APAC.

Selon le dernier Le rapport de Kaspersky Concernant les tendances APT, TetrisPhantom utilise divers outils, commandes et composants malveillants qui indiquent un groupe de menaces sophistiqué et bien doté en ressources.

« L’attaque comprend des outils et des techniques sophistiqués, notamment l’obscurcissement logiciel basé sur la virtualisation pour les composants malveillants, la communication de bas niveau avec la clé USB à l’aide de commandes SCSI directes, l’auto-réplication via des clés USB sécurisées connectées pour se propager à d’autres systèmes isolés et l’injection. de code dans un programme légitime de gestion des accès sur la clé USB qui agit comme un chargeur de malware sur une nouvelle machine. – Kaspersky

Détails de l’attaque

Kaspersky a partagé des détails supplémentaires avec BleepingComputer, expliquant que l’attaque avec l’application trojanisée Utetris commence par l’exécution sur la machine cible d’une charge utile appelée AcroShell.

AcroShell établit une ligne de communication avec le serveur de commande et de contrôle (C2) de l’attaquant et peut récupérer et exécuter des charges utiles supplémentaires pour voler des documents et des fichiers sensibles, et collecter des détails spécifiques sur les clés USB utilisées par la cible.

Les auteurs de la menace utilisent également les informations recueillies de cette manière pour la recherche et le développement d’un autre malware appelé XMKR et du cheval de Troie UTetris.exe.

Les capacités de XMKR sur l’appareil incluent le vol de fichiers à des fins d’espionnage et les données sont écrites sur les clés USB.

Les informations sur la clé USB compromise sont ensuite exfiltrées vers le serveur de l’attaquant lorsque le périphérique de stockage se connecte à un ordinateur connecté à Internet infecté par AcroShell.

Kaspersky a récupéré et analysé deux variantes malveillantes de l’exécutable Utetris, l’une utilisée entre septembre et octobre 2022 (version 1.0) et une autre déployée dans les réseaux gouvernementaux d’octobre 2022 à aujourd’hui (version 2.0).

Kaspersky affirme que ces attaques se poursuivent depuis au moins quelques années maintenant, l’espionnage étant la priorité constante de TetrisPhantom. Les chercheurs ont observé un petit nombre d’infections sur les réseaux gouvernementaux, indiquant une opération ciblée.