Кибератаките, използващи заразени USB устройства като първоначален вектор за достъп, са се увеличили три пъти през първата половина на 2023 г,

Това сочат нови данни на Mandiant, които подробно описват две такива кампании – SOGU и SNOWYDRIVE – насочени към организации от публичния и частния сектор в целия свят.

SOGU е „най-разпространената USB-базирана кибершпионска атака, използваща USB флаш памети, и една от най-агресивните кампании за кибершпионаж, насочена както към организации от публичния, така и от частния сектор в световен мащаб в различни индустриални вертикали“, заяви фирмата за разузнаване на заплахи, собственост на Google.

Дейността се приписва на базиран в Китай клъстер, наречен TEMP.Hex, който се проследява и под имената Camaro Dragon, Earth Preta и Mustang Panda. Целите включват строителство и инженерство, бизнес услуги, правителство, здравеопазване, транспорт и търговия на дребно в Европа, Азия и САЩ.

Веригата на заразяване, описана подробно от Mandiant, показва тактически общи черти с друга кампания на Mustang Panda, разкрита от Check Point, която разкри щам на саморазпространяващ се зловреден софтуер, наречен WispRider, който се разпространява чрез компрометирани USB устройства и потенциално нарушава системите с въздушна защита.

Всичко започва със злонамерено USB устройство, включено към компютъра, което води до изпълнението на PlugX (известен още като Korplug), който след това декриптира и стартира C-базирана задна врата, наречена SOGU, която ексфилтрира файлове от интерес, натискания на клавиши и скрийншоти.

SNOWYDRIVE е насочен към петролни и газови организации в Азия

Вторият клъстер, който използва механизма за проникване през USB, е UNC4698, който е набелязал петролни и газови организации в Азия, за да достави зловредния софтуер SNOWYDRIVE, който да изпълнява произволен полезен товар на хакнатите системи.

„След като SNOWYDRIVE бъде зареден, той създава задна врата в хост системата, давайки на нападателите възможност за дистанционно издаване на системни команди“, казват изследователите от Mandiant Ромел Йовен и Нг Чхун Киат. „Тя се разпространява и на други USB флаш памети и се разпространява в цялата мрежа.“

При тези атаки жертвата се подмамва да щракне върху заложен в капана файл, който се маскира като легитимен изпълним файл, като по този начин се активира верига от злонамерени действия, започващи с дропър, който установява опорна точка, последвана от изпълнението на импланта SNOWYDRIVE.

Някои от функционалностите на задната врата се състоят в извършване на търсене на файлове и директории, качване и изтегляне на файлове и стартиране на обратна обвивка.

„Организациите трябва приоритетно да въведат ограничения на достъпа до външни устройства като USB устройства“, казват изследователите. „Ако това не е възможно, те трябва поне да сканират тези устройства за зловредни файлове или код, преди да ги свържат към вътрешните си мрежи.“