Her şey, bir Asya konferansına katılan bir çalışanın, güvenliği ihlal edilmiş bir USB sürücü kullanarak bir iş arkadaşıyla bir sunum paylaşarak farkında olmadan Avrupa’daki kuruluşlarına kötü amaçlı yazılım bulaştırmasıyla başladı.
Check Point Research (CPR) tarafından hazırlanan bir rapora göre, Çin casusluk kötü amaçlı yazılımlarının yeni sürümlerindeki son artış, virüslü USB sürücüler aracılığıyla hızla yayıldıkları için endişeleri artırdı.
Kötü amaçlı yazılım kampanyası, Avrupa’daki bir sağlık kuruluşuna yönelik bir saldırıyla ilgili bir soruşturma sırasında keşfedildi ve olarak bilinen Çinli tehdit aktörünün faaliyetlerine ışık tuttu. Mustang PandasıTA416, Red Lich, Earth Preta, HoneyMyte ve Bronze President, Camaro Dragon ve LuminousMoth olarak da bilinir.
Bu yılın Mart ayının başlarında, Mustang Panda’nın yeni bir silah kullandığı gözlemlendi. MQsTTang arka kapısı Asya ve Avrupa’da hükümete ve siyasi örgütlere karşı.
Mustang Panda tarihsel olarak Güneydoğu Asya ülkelerine odaklanmış olsa da, bu olay onların genişleyen küresel erişimini ortaya çıkardı. Saldırı, başlangıçta virüslü bir USB sürücü aracılığıyla kurumun sistemlerine erişim sağladı.
Asya’da bir konferansa katılan bir çalışan, bilmeden bir sunumu bir meslektaşıyla paylaştı. güvenliği ihlal edilmiş USB sürücüsü, böylece Avrupa’ya döndüklerinde kötü amaçlı yazılımı kuruluşa dahil ederler.
CPR’lerde belirtildiği gibi kötü amaçlı yazılım Blog yazısı, daha önce Avast tarafından bildirilen “SSE” araç setinin bir parçası olarak, virüslü USB flash sürücüde saklanan kötü amaçlı bir Delphi başlatıcısı kullanıyor. Yürütüldüğünde, bir ana arka kapı açar ve enfeksiyonu diğer bağlı sürücülere yayar.
Kötü amaçlı yazılımın WispRider adlı özellikle güçlü bir çeşidi, USB sürücüler aracılığıyla yayılmak için HopperTick başlatıcısını kullanır. Özellikle kaçmak için tasarlanmış bir baypas mekanizması içerir. SmadAVGüneydoğu Asya’da popüler bir antivirüs yazılımı.
Kaçınma yeteneklerini geliştirmek için kötü amaçlı yazılım, güvenlik yazılımlarından ve önde gelen oyun şirketlerinden bileşenlerden yararlanarak DLL yandan yükleme tekniklerini kullanır. Bu çok yönlü yaklaşım, kötü amaçlı yazılımın güvenliği ihlal edilmiş makinelerde arka kapılar oluşturmasına ve aynı anda yeni bağlanan çıkarılabilir sürücülere bulaşmasına, potansiyel olarak yalıtılmış sistemlere sızmasına ve birincil hedeflerin ötesinde çok çeşitli varlıklara erişim sağlamasına olanak tanır.
CPR tavsiyesi, şirketin yakın zamanda Mustang Panda’ya atfedilen ayrı bir saldırı vektörü belirlemesinin ardından zamanında bir uyarı işlevi görüyor. Bu Çinli tehdit aktörünün devam eden faaliyetleri, kuruluşların Gelişen siber tehditlere karşı tetikte olun ve özellikle USB sürücüler gibi harici depolama aygıtlarıyla çalışırken sağlam güvenlik önlemlerini koruyun.
Bu büyüyen tehdide ilişkin teknik araştırma, burada mevcut.
İLGİLİ MAKALELER
- Fidye yazılımlarını yaymak için USB sürücülerini gönderen bilgisayar korsanları, FBI
- Best Buy Hediye Kartları ile kötü amaçlı USB’ler gönderen bilgisayar korsanları
- ABD Ordusu İstenmeyen Kötü Amaçlı Akıllı Saatler Tarafından Hedef Alındı
- Yeni kötü amaçlı yazılım aracı, USB’leri kullanarak hava boşluklu bilgisayarlardan dosya çalıyor
- USB Wormable Raspberry Robin Kötü Amaçlı Yazılımı Windows Installer’ı Vurdu
- VictoryGate cryptominer, USB sürücüler aracılığıyla 35.000 cihaza bulaştı