Οι επιθέσεις malware σε μονάδες USB αυξάνονται και πάλι κατά το πρώτο εξάμηνο του 2023.
Οι ερευνητές έχουν εντοπίσει τριπλάσια αύξηση του κακόβουλου λογισμικού που διανέμεται μέσω μονάδων USB το πρώτο εξάμηνο του 2023.
Μια νέα έκθεση της Mandiant περιγράφει πώς έχουν παρατηρηθεί φέτος δύο εκστρατείες κακόβουλου λογισμικού που μεταδίδεται μέσω USB: η μία ονομάζεται “Sogu”, η οποία αποδίδεται σε μια κινεζική ομάδα κατασκοπείας με την ονομασία “TEMP.HEX”, και η άλλη “Snowydrive”, η οποία αποδίδεται στην UNC4698, η οποία στοχεύει εταιρείες πετρελαίου και φυσικού αερίου στην Ασία.
Προηγουμένως, τον Νοέμβριο του 2022, η εταιρεία κυβερνοασφάλειας είχε επισημάνει μια εκστρατεία με κινεζικό σύνδεσμο που χρησιμοποιούσε συσκευές USB για να μολύνει οντότητες στις Φιλιππίνες με τέσσερις διαφορετικές οικογένειες malware.
Επιπλέον, τον Ιανουάριο του 2023, η ομάδα Unit 42 της Palo Alto Networks αποκάλυψε μια παραλλαγή του PlugX που ήταν ικανή να κρύβεται σε μονάδες USB και να μολύνει τους hosts των Windows στους οποίους ήταν συνδεδεμένη.
Η εκστρατεία Sogu
Η Mandiant αναφέρει ότι το Sogu είναι επί του παρόντος η πιο επιθετική εκστρατεία κυβερνοκατασκοπείας που χρησιμοποιεί μεθόδους με τη βοήθεια USB, στοχεύοντας σε πολλές βιομηχανίες παγκοσμίως και επιχειρώντας να κλέψει δεδομένα από μολυσμένους υπολογιστές.
Τα θύματα του κακόβουλου λογισμικού Sogu βρίσκονται στις Ηνωμένες Πολιτείες, τη Γαλλία, το Ηνωμένο Βασίλειο, την Ιταλία, την Πολωνία, την Αυστρία, την Αυστραλία, την Ελβετία, την Κίνα, την Ιαπωνία, την Ουκρανία, τη Σιγκαπούρη, την Ινδονησία και τις Φιλιππίνες.
Τα περισσότερα θύματα ανήκουν στους τομείς της φαρμακευτικής βιομηχανίας, της πληροφορικής, της ενέργειας, των επικοινωνιών, της υγείας και της εφοδιαστικής- ωστόσο, υπάρχουν θύματα σε όλους τους τομείς.
Το ωφέλιμο φορτίο, που ονομάζεται “Korplug”, φορτώνει τον C shellcode (Sogu) στη μνήμη μέσω DLL order hijacking, το οποίο απαιτεί εξαπάτηση του θύματος για να εκτελέσει ένα νόμιμο αρχείο.
Το Sogo δημιουργεί ένα κλειδί εκτέλεσης στο μητρώο και χρησιμοποιεί το Windows Task Scheduler για να διασφαλίσει ότι εκτελείται τακτικά.
Στη συνέχεια, το malware τοποθετεί ένα batch file στο “RECYCLE.BIN” για να βοηθήσει στην αναγνώριση του συστήματος, σαρώνοντας το μολυσμένο μηχάνημα για έγγραφα του MS Office, PDF και άλλα αρχεία κειμένου που μπορεί να περιέχουν πολύτιμα δεδομένα.
Τα αρχεία που εντοπίζονται από το Sogu αντιγράφονται σε δύο directories, έναν στο δίσκο C:\ του host και έναν στον working directory στο flash drive, και κρυπτογραφούνται με χρήση Base64.
Τα αρχεία εγγράφων τελικά εξάγονται στον C2 server μέσω TCP ή UDP, χρησιμοποιώντας αιτήματα HTTP ή HTTPS.
Το Sogo υποστηρίζει επίσης την εκτέλεση εντολών, την εκτέλεση αρχείων, το remote desktop, τη λήψη στιγμιότυπων οθόνης από τον μολυσμένο υπολογιστή, τη δημιουργία reverse shell και τη διενέργεια keylogging.
Όλοι οι drives που είναι συνδεδεμένοι στο μολυσμένο σύστημα θα λάβουν αυτόματα ένα αντίγραφο του αρχικού αρχείου συμβιβασμού του Sogu, το οποίο έχει ρυθμιστεί ώστε να επιτρέπει την πλευρική μετακίνηση.
Snowydrive καμπάνια
Το SnowyDrive είναι μια εκστρατεία που μολύνει υπολογιστές με ένα backdoor, επιτρέποντας στους επιτιθέμενους να εκτελούν αυθαίρετα ωφέλιμα φορτία μέσω της γραμμής εντολών των Windows, να τροποποιούν το μητρώο και να εκτελούν ενέργειες αρχείων και καταλόγων.
Και σε αυτή την περίπτωση, το θύμα εξαπατάται ώστε να εκκινήσει ένα νόμιμο εκτελέσιμο πρόγραμμα από μια μονάδα USB, το οποίο προκαλεί την εξαγωγή και εκτέλεση των components του malware που βρίσκονται σε έναν φάκελο “Kaspersky”.
Τα components αναλαμβάνουν συγκεκριμένους ρόλους, όπως η εγκαθίδρυση persistence στο παραβιασμένο σύστημα, η αποφυγή της ανίχνευσης, η εγκαθίδρυση ενός backdoor και η εξασφάλιση της διάδοσης του κακόβουλου λογισμικού μέσω των πρόσφατα συνδεδεμένων μονάδων USB.
Το SnowyDrive είναι ένα backdoor βασισμένο σε shellcode που φορτώνεται στη διαδικασία του “CUZ.exe”, το οποίο είναι ένα νόμιμο λογισμικό αποσυμπίεσης αρχείων.
Το backdoor υποστηρίζει πολλές εντολές που επιτρέπουν λειτουργίες αρχείων, διαρροή δεδομένων, reverse shell, εκτέλεση εντολών και αναγνώριση.
Για αποφυγή, το κακόβουλο λογισμικό χρησιμοποιεί ένα κακόβουλο DLL πλευρικά φορτωμένο από το ‘GUP.exe’, ένα νόμιμο πρόγραμμα ενημέρωσης του Notepad++, για να κρύψει τις επεκτάσεις αρχείων και συγκεκριμένα αρχεία που επισημαίνονται με “system” ή “hidden”.
Οι επιθέσεις μέσω USB θα συνεχιστούν
Αν και οι επιθέσεις USB απαιτούν φυσική πρόσβαση στους υπολογιστές-στόχους για να επιτύχουν μόλυνση, έχουν μοναδικά πλεονεκτήματα που τις διατηρούν τόσο σχετικές όσο και δημοφιλείς το 2023, όπως αναφέρει η Mandiant.
Στα πλεονεκτήματα περιλαμβάνονται η παράκαμψη των μηχανισμών ασφαλείας, η μυστικότητα, η αρχική πρόσβαση σε εταιρικά δίκτυα και η δυνατότητα μόλυνσης air-gapped συστημάτων που απομονώνονται από μη ασφαλή δίκτυα για λόγους ασφαλείας.
Η έρευνα της Mandiant υποδεικνύει τα μαγαζιά και τα ξενοδοχεία ως εστίες μόλυνσης για κακόβουλο λογισμικό που μεταδίδεται μέσω USB.
Παρόλα αυτά, λαμβάνοντας υπόψη την τυχαία και ευκαιριακή εξάπλωση αυτών των backdoors, οποιοδήποτε σύστημα με θύρα USB θα μπορούσε να αποτελέσει στόχο.
Πηγή πληροφοριών: bleepingcomputer.com
