Търсене
Close this search box.

Злонамерени USB устройства атакуват със SOGU и SNOWYDRIVE

Кибератаките, използващи заразени USB устройства като първоначален вектор за достъп, са се увеличили три пъти през първата половина на 2023 г,

Това сочат нови данни на Mandiant, които подробно описват две такива кампании – SOGU и SNOWYDRIVE – насочени към организации от публичния и частния сектор в целия свят.

SOGU е „най-разпространената USB-базирана кибершпионска атака, използваща USB флаш памети, и една от най-агресивните кампании за кибершпионаж, насочена както към организации от публичния, така и от частния сектор в световен мащаб в различни индустриални вертикали“, заяви фирмата за разузнаване на заплахи, собственост на Google.

Дейността се приписва на базиран в Китай клъстер, наречен TEMP.Hex, който се проследява и под имената Camaro Dragon, Earth Preta и Mustang Panda. Целите включват строителство и инженерство, бизнес услуги, правителство, здравеопазване, транспорт и търговия на дребно в Европа, Азия и САЩ.

Веригата на заразяване, описана подробно от Mandiant, показва тактически общи черти с друга кампания на Mustang Panda, разкрита от Check Point, която разкри щам на саморазпространяващ се зловреден софтуер, наречен WispRider, който се разпространява чрез компрометирани USB устройства и потенциално нарушава системите с въздушна защита.

Всичко започва със злонамерено USB устройство, включено към компютъра, което води до изпълнението на PlugX (известен още като Korplug), който след това декриптира и стартира C-базирана задна врата, наречена SOGU, която ексфилтрира файлове от интерес, натискания на клавиши и скрийншоти.

SNOWYDRIVE е насочен към петролни и газови организации в Азия

Вторият клъстер, който използва механизма за проникване през USB, е UNC4698, който е набелязал петролни и газови организации в Азия, за да достави зловредния софтуер SNOWYDRIVE, който да изпълнява произволен полезен товар на хакнатите системи.

„След като SNOWYDRIVE бъде зареден, той създава задна врата в хост системата, давайки на нападателите възможност за дистанционно издаване на системни команди“, казват изследователите от Mandiant Ромел Йовен и Нг Чхун Киат. „Тя се разпространява и на други USB флаш памети и се разпространява в цялата мрежа.“

При тези атаки жертвата се подмамва да щракне върху заложен в капана файл, който се маскира като легитимен изпълним файл, като по този начин се активира верига от злонамерени действия, започващи с дропър, който установява опорна точка, последвана от изпълнението на импланта SNOWYDRIVE.

Някои от функционалностите на задната врата се състоят в извършване на търсене на файлове и директории, качване и изтегляне на файлове и стартиране на обратна обвивка.

„Организациите трябва приоритетно да въведат ограничения на достъпа до външни устройства като USB устройства“, казват изследователите. „Ако това не е възможно, те трябва поне да сканират тези устройства за зловредни файлове или код, преди да ги свържат към вътрешните си мрежи.“

Източник: The Hacker News

Подобни публикации

30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
28 май 2024

Хакерите се насочват към VPN мрежите на Check P...

Заплахите се насочват към VPN устройствата за отдалечен достъп на C...
Бъдете социални
Още по темата
27/05/2024

Недостатък в Replicate AI и...

Изследователи в областта на киберсигурността са...
27/05/2024

Фалшиви антивирусни сайтове...

Наблюдавани са  заплахи, които използват фалшиви...
26/04/2024

Банковият троянец Godfather...

Операторите на мобилен зловреден софтуер като...
Последно добавени
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!