Araştırmacılar, virüs bulaşmış USB sürücüler aracılığıyla kendi kendine yayılarak yayılan casusluk amaçlı kötü amaçlı yazılımların geri döndüğünü ve yakın zamanda bir Avrupa sağlık kurumunda meydana gelen bir olayda ortaya çıktığını buldu.
Check Point Research’teki araştırmacılar, WispRider adını verdikleri arka kapıyı keşfettiler. Kampanya, Check Point’in “Camaro Dragon” olarak izlediği, ancak muhtemelen daha çok Mustang Panda (aka Luminous Moth ve Bronze President) olarak bilinen Çin devleti destekli APT’nin işidir.
Araştırmacılar, 22 Haziran’da yayınlanan bir blog gönderisinde, Check Point’in kötü amaçlı yazılımı ilk olarak Asya’da düzenlenen bir konferansa katılan bir çalışanın eve virüslü bir USB sürücüyle gelmesiyle keşfettiğini ortaya çıkardı. sunumunu diğer katılımcılarla USB sürücüsünü kullanarak paylaştığını ve oradaki meslektaşlarından birinin bilgisayarından virüs bulaştırdığını söylediler.
Check Point araştırmacıları raporda, “Sonuç olarak, Avrupa’daki sağlık kuruluşuna döndükten sonra, çalışan yanlışlıkla virüslü USB sürücüsünü soktu ve bu da enfeksiyonun hastanenin bilgisayar sistemlerine yayılmasına yol açtı.”
Yetkililer, olay, daha önce siber casusluk faaliyetlerini Güneydoğu Asya’daki kuruluşlara odaklayan APT’nin şimdi erişimini nasıl küresel olarak genişlettiğini gösteriyor. Gerçekten de, Çin’in Rusya’nın Ukrayna’ya karşı savaşına zımni desteğine rağmen, Mustang Panda’nın geçen yıl Rus ordusuna karşı bir siber casusluk kampanyası başlattığı görüldü.
Araştırma aynı zamanda USB sürücülerin kötü amaçlı yazılımları hızla ve çoğu zaman kullanıcıların haberi olmadan, hatta hava boşluklu sistemlerde bile yaymada oynadığı “endişe verici” rolün altını çiziyor. Check Point araştırmacıları gönderide, “Bu kötü amaçlı programlar, USB sürücüler aracılığıyla kendi kendine yayılma yeteneğine sahiptir ve bu da onları, amaçlanan hedeflerinin ötesinde bile güçlü enfeksiyon taşıyıcıları haline getirir.”
Gelişen Kötü Amaçlı Yazılım Yükü WispRider
Araştırmacılar tarafından keşfedilen kampanyanın ana yükü WispRider olarak adlandırılıyor ve bu araç seti “SSE” olarak adlandırılan Avast tarafından geçen yıl yayınlanan bir raporda özetlenen bir arka kapı. Check Point araştırmacıları, o zamandan beri ek özelliklerle güçlendirildiğini söyledi.
Birincisi, HopperTick adlı bir başlatıcı kullanarak USB sürücüler aracılığıyla yayılır ve ayrıca Güneydoğu Asya’da popüler bir antivirüs çözümü olan SmadAV için bir geçiş içerir. Araştırmacılar, kötü amaçlı yazılımın ayrıca G-DATA Total Security gibi güvenlik yazılımı ve iki büyük oyun şirketi Electronic Arts ve Riot Games’in bileşenlerini kullanarak DLL tarafında yükleme gerçekleştirdiğini söyledi. Check Point, şirketlere bileşenlerinin kötü amaçlı yazılımda kullanıldığını bildirdiğini söylediler.
Araştırmacılar, WispRider ve Hopper Tick’in altyapı ve operasyonel hedefler açısından Mustang Panda tarafından kullanılan diğer araçlarla uyumlu olduğunu ve bunların Çin APT’sine atfedilmesine izin verdiğini belirtti. Tehdit aktörü tarafından da kullanılan ilgili kötü amaçlı yazılımlar arasında TinyNote adlı Go tabanlı bir arka kapı ve HorseShell adlı kötü amaçlı bir yönlendirici üretici yazılımı implantı bulunur.
Araştırmacılar, WispRider enfeksiyonunun, virüslü bir bilgisayara iyi huylu bir USB sürücü takıldığında başladığını açıkladı. Kötü amaçlı yazılım, bilgisayara takılan yeni bir aygıtı algılar ve dosyalarını değiştirerek flash sürücünün kök dizininde birkaç gizli klasör oluşturur. Ardından, orijinal flash sürücünün adıyla bir Delphi yükleyiciyi ve bir USB flash sürücü simgesini flash sürücüye kopyalar.
İlginç bir şekilde, bu USB bulaşma akışında Delphi başlatıcısını otomatik olarak çalıştırmak için kullanılan özel bir teknik yoktur; araştırmacılar bunun yerine sosyal mühendisliğe dayandığını açıkladı.
Gönderide, “Kurbanlar artık sürücüdeki dosyalarını göremezler ve yalnızca yürütülebilir dosyayla kalırlar, muhtemelen dosyalarını ortaya çıkarmak için tıklayacaklardır – böylece makinede bir enfeksiyon akışını başlatırlar” diye yazdılar.
Araştırmacılar, WispRider’ın hem bir bulaştırıcı hem de arka kapı görevi gördüğünü, yandan yüklemenin hem USB bulaştırıcı bileşenini hem de arka kapının kendisini içeren bir DLL olduğunu söyledi. Hem virüslü bir makineden çalıştırmak hem de zaten virüs bulaşmamışsa bir makineye bulaşmak için yürütme akışlarına sahip olduğunu açıkladılar.
Araştırmacılar, ikincisinin “aktörler virüslü bir sürücüyü takmak için makineye fiziksel olarak erişemedikleri için USB yayılımına güvenemediklerinde kötü amaçlı yazılımı hedeflenen ağa ileten alternatif bir bulaşma vektörü olması muhtemeldir” diye yazdı.
Dahası, Mustang Panda’nın bilinen taktiklerine dayanarak, USB dışı WispRider enfeksiyonları muhtemelen “bulaşmayla ilgili tüm dosyaları içeren bir arşiv sağlayan ve geçerli bir yürütülebilir dosyanın ilgili bir argümanla çalıştırılmasını sağlayan mızraklı kimlik avı kampanyalarından” kaynaklanıyor, diye yazdılar.
USB Kaynaklı Siber Tehditleri Azaltma
USB ile yayılan enfeksiyonlar yaklaşık yirmi yıldır var, ancak tehdit aktörlerinin bu vektör aracılığıyla çeşitli kötü amaçlı yazılım türlerini ne kadar hızlı yayabildikleri nedeniyle APT’ler ve diğer büyük siber suç grupları için giderek daha popüler bir saldırı vektörü haline geliyor. Ayrıca, kullanıcıları bir enfeksiyon taşıdıklarının farkında olmayabilecekleri ayrı cihazlar aracılığıyla, aksi takdirde yüksek düzeyde güvenli ağlara kötü amaçlı yazılımları gizlice sokmalarına olanak tanır.
Gerçekten de FBI, bu yılın başlarında, FIN7 tehdit grubunun, fidye yazılımlarını ortamlarına yaymak amacıyla ABD kuruluşlarına flash sürücüler gönderdiği bir USB siber saldırı kampanyası konusunda uyarıda bulundu.
Bu saldırıların artan doğası ve geniş yüzey alanı nedeniyle Check Point araştırmacıları, kuruluşların kendilerini USB sürücü tabanlı saldırılara karşı korumalarına yardımcı olacak bir dizi öneride bulundu:
- Bilinmeyen veya güvenilmeyen kaynaklardan gelen USB sürücülerini kullanmanın potansiyel tehlikeleri konusunda çalışanlar arasında farkındalığı artırın ve dikkatli davranışı teşvik edin ve kurumsal cihazlarda alışılmadık sürücülerin kullanılmasını engelleyin;
- Kuruluşlar ayrıca, şirket ağına bağlı herhangi bir cihazla USB sürücülerin kullanımına ilişkin katı ve net yönergeler oluşturmalı ve hatta güvenilir kaynaklardan alınmadıkça kullanımlarını sınırlamayı veya yasaklamayı düşünmelidir;
- Aslında, araştırmacılar, kuruluşların USB’lere tamamen güvenli alternatifler aramasının iyi bir fikir olduğunu belirtti; örneğin, bulut depolama veya şifreli dosya paylaşım platformları. Bu, fiziksel USB sürücülere olan bağımlılığı azaltacak ve ilgili riskleri azaltacaktır;
- Ayrıca, tüm cihazlarda virüsten koruma yazılımını ve diğer güvenlik yazılımlarını güncelleyerek ve USB sürücülerini olası enfeksiyonlara karşı düzenli olarak tarayarak güvenlik önlemlerini genel olarak güncel tutmak da kurumsal ağların korunmasına yardımcı olabilir.