本文来自微信公众号“嘶吼专业版”,作者/~阳光~。
近期,网络犯罪分子利用U盘进行恶意软件攻击的事件大幅增加。据Mandiant的安全研究人员称,在2023年上半年,通过U盘窃取敏感信息的恶意软件攻击增加了三倍之多。这些研究人员还披露了两个具体的攻击活动的细节。
其中一个攻击活动是由网络间谍组织TEMP.Hex发起的,目标是针对欧洲、亚洲和美国的公共和私营机构进行攻击。
这些U盘中包含了多种恶意软件,并采用DLL劫持技术将最终有效载荷下载到被入侵系统的内存中。一旦这些恶意代码被执行,SOGU恶意软件就会执行各种操作,如捕获屏幕截图、记录键盘输入、建立反向shell连接以及启用远程桌面连接执行其他文件。
这些被窃取的数据可以通过TCP、UDP或ICMP使用自定义二进制协议发送到攻击者的命令和控制(C2)服务器内。此次攻击活动的目标行业包括建筑、工程、政府、制造、零售、媒体和制药行业。
在一次攻击活动中,受害者被诱使点击一个文件,该文件看似是一个在U盘根目录下发现的合法的可执行文件。在执行该文件后,就会使得感染链触发,然后下载一个名为SNOWYDRIVE的基于shellcode的后门程序。
该恶意软件不仅会将自身复制到与受感染系统相连的可移动驱动器上,而且还会执行各种其他的恶意操作,如写入或删除文件、进行文件上传以及执行反向的shell命令。
最近,Check Point研究小组发现了一个新的基于USB的攻击活动,该活动是由一个名为"Camaro"的组织发起的。
该攻击活动专门针对欧洲的一家医疗机构进行攻击,这其中涉及部署多个新版本的恶意软件工具集,包括WispRider和HopperTick。据报道,Camaro利用有效的U盘在缅甸、韩国、英国、印度和俄罗斯发起攻击。
目前专家强烈建议企业优先考虑针对USB设备的访问做限制,并在将USB设备连接到网络之前对恶意文件进行全面的扫描。
参考及来源:https://www.cysecurity.news/2023/07/sharp-increase-in-malware-attacks-via.html
