Търсене
Close this search box.

Кибератаките, използващи заразени USB устройства като първоначален вектор за достъп, са се увеличили три пъти през първата половина на 2023 г,

Това сочат нови данни на Mandiant, които подробно описват две такива кампании – SOGU и SNOWYDRIVE – насочени към организации от публичния и частния сектор в целия свят.

SOGU е „най-разпространената USB-базирана кибершпионска атака, използваща USB флаш памети, и една от най-агресивните кампании за кибершпионаж, насочена както към организации от публичния, така и от частния сектор в световен мащаб в различни индустриални вертикали“, заяви фирмата за разузнаване на заплахи, собственост на Google.

Дейността се приписва на базиран в Китай клъстер, наречен TEMP.Hex, който се проследява и под имената Camaro Dragon, Earth Preta и Mustang Panda. Целите включват строителство и инженерство, бизнес услуги, правителство, здравеопазване, транспорт и търговия на дребно в Европа, Азия и САЩ.

Веригата на заразяване, описана подробно от Mandiant, показва тактически общи черти с друга кампания на Mustang Panda, разкрита от Check Point, която разкри щам на саморазпространяващ се зловреден софтуер, наречен WispRider, който се разпространява чрез компрометирани USB устройства и потенциално нарушава системите с въздушна защита.

Всичко започва със злонамерено USB устройство, включено към компютъра, което води до изпълнението на PlugX (известен още като Korplug), който след това декриптира и стартира C-базирана задна врата, наречена SOGU, която ексфилтрира файлове от интерес, натискания на клавиши и скрийншоти.

SNOWYDRIVE е насочен към петролни и газови организации в Азия

Вторият клъстер, който използва механизма за проникване през USB, е UNC4698, който е набелязал петролни и газови организации в Азия, за да достави зловредния софтуер SNOWYDRIVE, който да изпълнява произволен полезен товар на хакнатите системи.

„След като SNOWYDRIVE бъде зареден, той създава задна врата в хост системата, давайки на нападателите възможност за дистанционно издаване на системни команди“, казват изследователите от Mandiant Ромел Йовен и Нг Чхун Киат. „Тя се разпространява и на други USB флаш памети и се разпространява в цялата мрежа.“

При тези атаки жертвата се подмамва да щракне върху заложен в капана файл, който се маскира като легитимен изпълним файл, като по този начин се активира верига от злонамерени действия, започващи с дропър, който установява опорна точка, последвана от изпълнението на импланта SNOWYDRIVE.

Някои от функционалностите на задната врата се състоят в извършване на търсене на файлове и директории, качване и изтегляне на файлове и стартиране на обратна обвивка.

„Организациите трябва приоритетно да въведат ограничения на достъпа до външни устройства като USB устройства“, казват изследователите. „Ако това не е възможно, те трябва поне да сканират тези устройства за зловредни файлове или код, преди да ги свържат към вътрешните си мрежи.“

Източник: The Hacker News

Подобни публикации

3 ноември 2024

Използван е бъг RCE в Microsoft SharePoint за п...

Наскоро разкритата уязвимост на Microsoft SharePoint за отдалечено ...
3 ноември 2024

Обходен път поправя замръзване при копиране на...

Microsoft разследва известен проблем, който засяга клиентите на Mic...
3 ноември 2024

Рансъмуерът Cactus удря HACLA

Жилищната администрация на град Лос Анджелис (HACLA), един от най-г...
3 ноември 2024

Пазарът на труда в киберсигурността стагнира

Проучването на ISC2 за работната сила в областта на киберсигурностт...
2 ноември 2024

Новото разширение за Chrome ChatGPT Search прил...

Новото разширение за Chrome на OpenAI „ChatGPT search“ не прилича н...
2 ноември 2024

Потребителите на Azure Virtual Desktop с пробле...

Microsoft предупреди клиентите, че може да се появят до 30 минути ч...
Бъдете социални
Още по темата
08/10/2024

Защо многофакторното удосто...

Твърде крайно е да се каже,...
03/09/2024

RansomHub Ransomware Group ...

Заплахи, свързани с групата RansomHub, са...
24/08/2024

Хакерите вече използват инж...

Вълната от атаки, започнала през юли...
Последно добавени
03/11/2024

Използван е бъг RCE в Micro...

Наскоро разкритата уязвимост на Microsoft SharePoint...
03/11/2024

Обходен път поправя замръз...

Microsoft разследва известен проблем, който засяга...
03/11/2024

Рансъмуерът Cactus удря HACLA

Жилищната администрация на град Лос Анджелис...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!