Кибератаките, използващи заразени USB устройства като първоначален вектор за достъп, са се увеличили три пъти през първата половина на 2023 г,
Това сочат нови данни на Mandiant, които подробно описват две такива кампании – SOGU и SNOWYDRIVE – насочени към организации от публичния и частния сектор в целия свят.
SOGU е „най-разпространената USB-базирана кибершпионска атака, използваща USB флаш памети, и една от най-агресивните кампании за кибершпионаж, насочена както към организации от публичния, така и от частния сектор в световен мащаб в различни индустриални вертикали“, заяви фирмата за разузнаване на заплахи, собственост на Google.
Дейността се приписва на базиран в Китай клъстер, наречен TEMP.Hex, който се проследява и под имената Camaro Dragon, Earth Preta и Mustang Panda. Целите включват строителство и инженерство, бизнес услуги, правителство, здравеопазване, транспорт и търговия на дребно в Европа, Азия и САЩ.
Веригата на заразяване, описана подробно от Mandiant, показва тактически общи черти с друга кампания на Mustang Panda, разкрита от Check Point, която разкри щам на саморазпространяващ се зловреден софтуер, наречен WispRider, който се разпространява чрез компрометирани USB устройства и потенциално нарушава системите с въздушна защита.
Всичко започва със злонамерено USB устройство, включено към компютъра, което води до изпълнението на PlugX (известен още като Korplug), който след това декриптира и стартира C-базирана задна врата, наречена SOGU, която ексфилтрира файлове от интерес, натискания на клавиши и скрийншоти.
Вторият клъстер, който използва механизма за проникване през USB, е UNC4698, който е набелязал петролни и газови организации в Азия, за да достави зловредния софтуер SNOWYDRIVE, който да изпълнява произволен полезен товар на хакнатите системи.
„След като SNOWYDRIVE бъде зареден, той създава задна врата в хост системата, давайки на нападателите възможност за дистанционно издаване на системни команди“, казват изследователите от Mandiant Ромел Йовен и Нг Чхун Киат. „Тя се разпространява и на други USB флаш памети и се разпространява в цялата мрежа.“
При тези атаки жертвата се подмамва да щракне върху заложен в капана файл, който се маскира като легитимен изпълним файл, като по този начин се активира верига от злонамерени действия, започващи с дропър, който установява опорна точка, последвана от изпълнението на импланта SNOWYDRIVE.
Някои от функционалностите на задната врата се състоят в извършване на търсене на файлове и директории, качване и изтегляне на файлове и стартиране на обратна обвивка.
„Организациите трябва приоритетно да въведат ограничения на достъпа до външни устройства като USB устройства“, казват изследователите. „Ако това не е възможно, те трябва поне да сканират тези устройства за зловредни файлове или код, преди да ги свържат към вътрешните си мрежи.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.