Злонамерени USB устройства атакуват със SOGU и SNOWYDRIVE

Кибератаките, използващи заразени USB устройства като първоначален вектор за достъп, са се увеличили три пъти през първата половина на 2023 г,

Това сочат нови данни на Mandiant, които подробно описват две такива кампании – SOGU и SNOWYDRIVE – насочени към организации от публичния и частния сектор в целия свят.

SOGU е „най-разпространената USB-базирана кибершпионска атака, използваща USB флаш памети, и една от най-агресивните кампании за кибершпионаж, насочена както към организации от публичния, така и от частния сектор в световен мащаб в различни индустриални вертикали“, заяви фирмата за разузнаване на заплахи, собственост на Google.

Дейността се приписва на базиран в Китай клъстер, наречен TEMP.Hex, който се проследява и под имената Camaro Dragon, Earth Preta и Mustang Panda. Целите включват строителство и инженерство, бизнес услуги, правителство, здравеопазване, транспорт и търговия на дребно в Европа, Азия и САЩ.

Веригата на заразяване, описана подробно от Mandiant, показва тактически общи черти с друга кампания на Mustang Panda, разкрита от Check Point, която разкри щам на саморазпространяващ се зловреден софтуер, наречен WispRider, който се разпространява чрез компрометирани USB устройства и потенциално нарушава системите с въздушна защита.

Всичко започва със злонамерено USB устройство, включено към компютъра, което води до изпълнението на PlugX (известен още като Korplug), който след това декриптира и стартира C-базирана задна врата, наречена SOGU, която ексфилтрира файлове от интерес, натискания на клавиши и скрийншоти.

SNOWYDRIVE е насочен към петролни и газови организации в Азия

Вторият клъстер, който използва механизма за проникване през USB, е UNC4698, който е набелязал петролни и газови организации в Азия, за да достави зловредния софтуер SNOWYDRIVE, който да изпълнява произволен полезен товар на хакнатите системи.

„След като SNOWYDRIVE бъде зареден, той създава задна врата в хост системата, давайки на нападателите възможност за дистанционно издаване на системни команди“, казват изследователите от Mandiant Ромел Йовен и Нг Чхун Киат. „Тя се разпространява и на други USB флаш памети и се разпространява в цялата мрежа.“

При тези атаки жертвата се подмамва да щракне върху заложен в капана файл, който се маскира като легитимен изпълним файл, като по този начин се активира верига от злонамерени действия, започващи с дропър, който установява опорна точка, последвана от изпълнението на импланта SNOWYDRIVE.

Някои от функционалностите на задната врата се състоят в извършване на търсене на файлове и директории, качване и изтегляне на файлове и стартиране на обратна обвивка.

„Организациите трябва приоритетно да въведат ограничения на достъпа до външни устройства като USB устройства“, казват изследователите. „Ако това не е възможно, те трябва поне да сканират тези устройства за зловредни файлове или код, преди да ги свържат към вътрешните си мрежи.“

Източник: The Hacker News

Подобни публикации

4 октомври 2023

Киберсигурността: ключов фактор за настоящето и...

Месецът за повишаване на осведомеността за киберсигурността се отбе...
4 октомври 2023

Моделите на PyTorch са уязвими за изпълнение на...

Изследователи в областта на киберсигурността са разкрили множество ...
4 октомври 2023

Qualcomm издава кръпка за 3 нови нулеви дни

Производителят на чипове Qualcomm пусна актуализации за сигурност, ...
4 октомври 2023

Над 3 дузини зловредни пакети npm са насочени к...

Според констатации на Fortinet FortiGuard Labs в хранилището за пак...
4 октомври 2023

Милиони мейл сървъри на Exim са изложени на zer...

Критична уязвимост от типа „нулев ден“ във всички верси...
3 октомври 2023

Cyber Security Talks Bulgaria – ОКТОМВРИ 2023

На 10.10.2023 г. във Висшето военноморско училище в гр. Варна ще се...
Бъдете социални
Още по темата
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
02/10/2023

LostTrust се ребрандира на ...

Смята се, че операцията LostTrust ransomware...
02/10/2023

Lazarus Group се представя ...

Идващата от  Северна Корея Lazarus Group...
Последно добавени
04/10/2023

Киберсигурността: ключов фа...

Месецът за повишаване на осведомеността за...
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
04/10/2023

Qualcomm издава кръпка за 3...

Производителят на чипове Qualcomm пусна актуализации...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!