Kibernetički napadi koji koriste zaražene USB diskove za infekciju kao početni vektor pristupa zabilježili su trostruko povećanje u prvoj polovini 2023. godine.
To je prema novim nalazima kompanije Mandiant, koji su detaljno opisali dvije takve kampanje, SOGU i SNOWYDRIVE, usmjerene na subjekte javnog i privatnog sektora širom svijeta.
SOGU je “najrasprostranjeniji napad kibernetičke špijunaže zasnovan na USB-u koristeći USB fleš diskove i jedna od najagresivnijih kampanja kibernetičke špijunaže koja cilja na organizacije javnog i privatnog sektora na globalnom nivou u svim industrijskim vertikalama” rekla je kompanija za obavještavanje o pretnjama u vlasništvu Google-a.
Aktivnost je pripisana klasteru sa sjedištem u Kini pod nazivom TEMP.Hex, koji se takođe prati pod imenima Camaro Dragon, Earth Preta i Mustang Panda. Ciljevi uključuju građevinarstvo i inženjering, poslovne usluge, vladu, zdravstvo, transport i maloprodaju u Evropi, Aziji i SAD-u.
Lanac zaraze koji je detaljno opisao Mandiant pokazuje taktičke sličnosti s drugom kampanjom Mustang Pande koju je otkrio Check Point, koja je otkrila soj samopropagirajućeg malicioznog softvera zvanog WispRider koji se širi kroz kompromitovane USB diskove i potencijalno probija sisteme sa vazdušnim zazorom.
Sve počinje sa malicioznim USB fleš diskom koji je priključen na računar, što dovodi do izvršavanja PlugX-a (aka Korplug), koji zatim dešifruje i pokreće backdoor baziran na C-u pod nazivom SOGU koji eksfiltruje datoteke od interesa, pritiska na tastere i snimke ekrana.
SNOWYDRIVE cilja na naftne i plinske organizacije u Aziji
Drugi klaster koji koristi mehanizam za infiltraciju USB-a je UNC4698, koji je izdvojio naftne i gasne organizacije u Aziji da isporuče SNOWYDRIVE malver za izvršavanje proizvoljnog payload-a na hakovanim sistemima.
“Kada se SNOWYDRIVE učita, stvara backdoor na host sistemu, dajući napadačima mogućnost da daljinski izdaju sistemske komande” rekli su istraživači Mandiant Rommel Joven i Ng Choon Kiat. “Takođe se širi na druge USB fleš diskove i širi kroz mrežu.”
U ovim napadima, žrtva je namamljena da klikne na datoteku zarobljenu u mine koja se maskira kao legitimni izvršni fajl, čime se aktivira lanac malicioznih radnji, počevši od uspostavljanja uporišta, nakon čega slijedi izvršavanje implantata SNOWYDRIVE.
Neke od funkcionalnosti backdoor-a sastoje se od izvođenja pretraživanja datoteka i direktorija, učitavanja i preuzimanja datoteka i pokretanja reverse shell-a.
“Organizacije bi trebale dati prioritet implementaciji ograničenja pristupa vanjskim uređajima kao što su USB diskovi” rekli su istraživači. “Ako to nije moguće, trebali bi barem skenirati ove uređaje u potrazi za malicioznim datotekama ili kodom prije nego što ih povežu na svoje interne mreže.”
Izvor: The Hacker News