Siber güvenlik firması Mandiant’ın yakın tarihli bir gönderisine göre, USB sürücüler Güneydoğu Asya’daki hedefleri hacklemek için kullanılıyor. UNC4191 olarak anılan bu faaliyetin arkasındaki tehdit aktörü, Filipinler’e odaklanarak Güneydoğu Asya, Asya-Pasifik, Avrupa ve ABD’deki kamu ve özel kuruluşları hedefliyor.
Mandiant’ın raporuna göre, bu yeni kampanya Eylül 2021’de başladı. Araştırmacılar, bu operasyonun bir operasyon olarak yürütüldüğünü değerlendiriyor. siber casusluk operasyonu Çin’in siyasi ve ticari çıkarlarıyla ilgili.
Google’a ait Mandiant gözlemlerinin, ülkede bulunan etkilenen sistemlerin sayısı nedeniyle Filipinler’in bu operasyonun ana hedefi olduğunu gösterdiğini belirtiyor. Ayrıca, hedeflenen kuruluşlar başka yerlerde konuşlanmış olsa bile, hedeflenen belirli sistemlerin fiziksel olarak Filipinler’de bulunduğunu da eklediler.
Evrensel Seri Veri Yolu sürücüleri aracılığıyla ilk bulaşmanın ardından bilgisayar korsanları, kötü amaçlı yazılımları yandan yüklerken yasal olarak imzalanmış ikili dosyaları dağıttı. Siber casuslukta kullanılan kötü amaçlı yazılım aileleri, Mandiant tarafından Mistcloak Launcher, Darkdew Dropper ve Bluehaze Launcher olarak tanımlandı.
Mandiant, UNC4191 kampanyasındaki genel enfeksiyon döngüsünü üç farklı aşamaya ayırıyor.
Mistcloak, yandan yüklenen ilk kötü amaçlı yazılımdır çünkü USB Network Gate uygulamasının bir sürümünün yürütülmesi, virüslü bir USB makineye takılır takılmaz tetiklenir.
Bu kötü amaçlı yazılım parçası, kalıcılık elde etmek için tasarlanmış Darkdew içeren bir INI dosyası yükler ve USB sürücülerine bulaşmak Sisteme bağlandıklarında.
Bulaşma zincirinin üçüncü aşamasında yürütülen Bluehaze, sabit kodlanmış bir komut ve kontrol (C&C) sunucusuna ters bir kabuk oluşturan, yeniden adlandırılmış bir NCAT yürütülebilir dosyasını yürütmek üzere tasarlanmıştır.
onların içinde Blog yazısı, Mandiant araştırmacıları, bu virüslerin kurbanın sisteminde ters bir kabuk sağlayarak UNC4191 bilgisayar korsanlarına arka kapı erişimi sağladığının bilindiğini belirtti. Kötü amaçlı yazılım daha sonra güvenliği ihlal edilmiş sistemlere takılı tüm yeni çıkarılabilir aygıtlara bulaşarak kendini çoğaltır. Bu nedenle, kötü amaçlı yazılım, hava boşluklu sistemler aracılığıyla bile yayılabilir.
“Mandiant, ters kabuk etkileşimine dair kanıt gözlemlemedi; ancak etkinliğin yaşına bağlı olarak bu, görünürlük boşluklarının veya kısa günlük tutma sürelerinin bir sonucu olabilir.
Mandiant
Alakalı haberler
- Schneider Electric, Kötü Amaçlı Yazılım Yüklü USB Sürücüler Gönderdi
- VictoryGate cryptominer, USB sürücüler aracılığıyla 35.000 cihaza bulaştı
- Yeni kötü amaçlı yazılım aracı, USB’leri kullanarak hava boşluklu bilgisayarlardan dosya çalabilir
- Best Buy Hediye Kartları ile kötü amaçlı yazılım bulaşmış USB’ler gönderen bilgisayar korsanları
- Çin’in Android kötü amaçlı yazılımıyla Uygurlara karşı sinsi gözetimi