Cyber spionaggio “cinese”, l’infezione parte dai dispositivi USB

Mandiant segnala la scoperta di una campagna di spionaggio informatico che utilizza i dispositivi USB come vettore iniziale di infezione.

L’attore è geolocalizzato nelle Filippine e viene tracciato dai ricercatori come UNC4191, che associano alla RPC (Repubblica Popolare Cinese). La campagna stessa è potenzialmente riconducibile fino a settembre 2021, a giudicare dalle date (timestamp) tracciate sulle compilazioni del file binari (più di un anno di attività).

Le operazioni dell’UNC4191 hanno interessato una serie di organizzazioni del settore pubblico e privato, principalmente nel sud-est asiatico, ma anche negli Stati Uniti e in Europa, nelle cui infrastrutture, i sistemi target si trovavano però fisicamente nelle Filippine.

Dopo aver inizialmente infettato tramite dispositivi USB, l’aggressore ha utilizzato binari firmati legalmente per scaricare malware, inclusi tre nuovi ceppi: MISTCLOAK, DARKDEW e BLUEHAZE, che riflettono le fasi del ciclo di infezione complessivo di questa campagna.

La catena di infezione inizia quando un utente monta un dispositivo rimovibile compromesso ed esegue manualmente un file binario firmato e rinominato dalla directory principale del volume di archiviazione.

I file binari di origine denominati Removable Drive.exe o USB Drive.exe sono versioni di un’applicazione legalmente firmata denominata USB Network Gate sviluppata da Electronic Team, Inc. Vengono utilizzati per trasferire il malware MISTCLOAK che finge di essere una DLL.

MISTCLOAK è un launcher scritto in C++ che esegue un payload eseguibile crittografato memorizzato in un file su disco, avviando in effetti un file usb.ini crittografato.

Il file usb.ini contiene un payload DLL crittografato chiamato DARKDEW, un dropper C++ in grado di infettare i supporti rimovibili implementando un metodo di auto-replicazione e trasferimento file.

Il passaggio finale utilizza BLUEHAZE, un launcher scritto in C/C++ che avvia una copia dell’utilità di rete NCAT (scritta per Nmap per eseguire un’ampia gamma di attività di sicurezza e amministrazione) per creare un wrapper di comando e controllo codificati (C2), che fornisce all’attaccante l’accesso backdoor.

Pertanto, il malware si auto-replica infettando nuove unità rimovibili connesse al sistema compromesso, consentendo al payload del malware di propagarsi a sistemi aggiuntivi e, potenzialmente, raccogliere dati da sistemi air-gap.

Gli indicatori di compromissione e YARA vengono presentati in dettaglio nel report, dai ricercatori.