Birden çok sektör ve bölgedeki kuruluşları hedef alan devam eden iki siber casusluk kampanyası, güvenlik ekiplerinin çalışan sistemlerindeki USB sürücülere ve diğer harici cihazlara erişimi kısıtlamasının önemini gösteriyor.
Kampanyalardan birinde, TEMP.Hex olarak izlenen Çin bağlantılı bir tehdit aktörü, ana sistemlerden hassas bilgileri çalmak amacıyla kötü amaçlı yazılım yüklemek için USB flash sürücüleri kullanıyor. Bir sisteme girdikten sonra, “Sogu” olarak adlandırılan kötü amaçlı yazılım, kendisini virüslü ana bilgisayara takılı herhangi bir çıkarılabilir sürücüye kopyalayabilir ve böylece saldırganın, yükü potansiyel olarak hava boşluklu sistemler de dahil olmak üzere diğer sistemlere yayması için bir yol sağlar. .
Mandiant’tan araştırmacılar yakın zamanda tehdidi keşfettiler ve TEMP.Hex’in Çin’in ekonomik ve ulusal güvenlik çıkarlarına sahip bilgileri toplamak için Sogu’yu kullandığına inanıyorlar. Güvenlik satıcısı, kampanyanın özellikle mühendislik, inşaat, hükümet, ulaşım, sağlık ve ticari hizmetler olmak üzere birden çok sektördeki kuruluşlara yönelik bir tehdit oluşturduğunu değerlendirdi.
Mandiant araştırmacıları, UNC4698 olarak takip ettiği bir tehdit aktörünün, devam eden başka bir büyük siber kampanyadan sorumlu olduğunu ve ayrıca virüslü USB sürücülerini kurban sistemlerine kötü amaçlı yazılım bırakmak için kullandığını söyledi. Bu kampanyadaki “SnowyDrive” adlı kötü amaçlı yazılım, bulaştığı sistemlerde bir arka kapı oluşturur, böylece siber saldırganın cihazla uzaktan etkileşim kurma ve komut verme yolu vardır. UNC4698’in bu kampanya için hedefindeki kuruluşlar, Asya’daki petrol ve gaz kuruluşlarıdır.
Mandiant’a göre, 2023’ün ilk yarısında USB sürücülerini içeren saldırılarda üç kat artış oldu, ancak ani artışın ani itici gücü belirsizliğini koruyor. Zehirli USB sürücüleri içeren olaylar, diğer siber saldırı vektörlerine göre biraz nadir kalsa da, büyük profesyonel gruplar da dahil olmak üzere tehdit aktörlerinin bulunduğu birkaç durum olmuştur. — taktiği uygulamıştır.
USB Dağıtılmış Kötü Amaçlı Yazılımların Yeniden Artması
Sogu ve SnowyDrive, Mandiant araştırmacılarının ve diğerlerinin yakın zamanda tehdit aktörlerinin virüslü USB flash sürücüler aracılığıyla konuşlandırdıklarını gözlemledikleri iki kötü amaçlı yazılım aracıdır. Aralık ayında Mandiant, Çin bağlantılı başka bir tehdit aktörü olan UNC4191’in USB sürücüler aracılığıyla virüs bulaşmış sistemlere dört ayrı kötü amaçlı yazılım ailesini dağıttığını bildirdi. Bu kampanyanın kurbanları arasında Güneydoğu Asya’daki ve daha az ölçüde ABD, Avrupa ve Asya-Pasifik bölgesindeki kamu ve özel sektör kuruluşları yer aldı.
Haziran ayında Check Point, yakın zamanda araştırdığı, “Camaro Dragon” (Mustang Panda) olarak adlandırılan bir China-nexus tehdit aktörünün virüslü bir USB sürücü aracılığıyla bir hastane ağına erişim sağladığı ve verileri çalmak için kendi kendine yayılan kötü amaçlı yazılım kullandığı bir olayı anlattı.
Ve kötü şöhretli, finansal olarak motive olan FIN7 grubu (namı diğer Carbanak) geçen yıl fidye yazılımı yüklü USB’leri ABD Sağlık ve İnsani Hizmetler Bakanlığı’ndan geliyormuş gibi görünerek ABD savunma, ulaşım ve diğer alanlardaki hedeflere göndererek FBI’ın dikkatini çekti. ve diğer sektörler.
Mandiant araştırmacıları Rommel Joven ve NG Choon Kiat, son gönderilerinde “Kuruluşlar, USB sürücüleri gibi harici cihazlara erişim kısıtlamaları uygulamaya öncelik vermelidir.” Bu mümkün değilse, en azından bu cihazları kendi iç ağlarına bağlamadan önce kötü amaçlı dosya veya kod taraması yapmalıdırlar.”
USB Kötü Amaçlı Yazılım: Çalmak İçin Tasarlandı
Tüm USB tabanlı saldırılarda olduğu gibi, Sogu ve SnowyDrive kampanyaları da kullanıcıların hileli bir USB alıp sistemlerine yerleştirmelerine ve sonraki istemleri takip etmelerine bağlıdır. Mandiant’ın raporu, hedeflerin iş gezilerinde olabileceği ve güvenlik konusunda daha az uyanık olabileceği otelleri ve yerel matbaaları enfeksiyon için potansiyel sıcak noktalar olarak tanımladı.
Sogu kampanyasıyla, bir kullanıcı cihazı bir ana sisteme yerleştirdiğinde, silah haline getirilmiş USB flash sürücü başlangıçta üç dosya yükler: yasal bir yürütülebilir dosya, kötü amaçlı bir dinamik bağlantı kitaplığı (DLL) yükleyicisi ve şifrelenmiş bir yük. Yürütüldüğünde, yasal yürütülebilir dosya – tipik olarak Symantec veya Avast gibi güvenlik yazılımı – kötü niyetli bir DLL dosyası olan “Korplug”u yandan yükler ve ardından Sogu arka kapısının şifresini çözer ve belleğe yükler. Bulaşma zincirindeki sonraki adımlar, kötü amaçlı yazılımın belirli sistem meta verilerini toplamasını, C sürücüsünde .docx, .doc, .ppt, .pdf ve diğer uzantılara sahip dosyaları aramasını içerir. Kötü amaçlı yazılım ayrıca aldığı tüm bilgileri hazırlamak, verileri dışarı sızdırmak ve son olarak virüs bulaşmış bir sistemde varlığını sürdürmek için ayrı adımlar yürütür.
Mandiant, “Kötü amaçlı yazılım, komuta ve kontrol sunucusuyla iletişim kurmak için HTTP, HTTPS, TCP veya UDP üzerinden özel bir ikili protokol ve ICMP içerebilir.” Dedi. “Kötü amaçlı yazılımın ayrıca dosya aktarımı, dosya yürütme, uzak masaüstü, ekran görüntüsü yakalama, ters kabuk ve keylogging dahil olmak üzere çok çeşitli komutları desteklediği bulundu.”
SnowyDrive ile, USB bir sisteme takıldıktan sonra, kullanıcının meşru bir dosya gibi görünmesi için taklit edilen kötü amaçlı bir yürütülebilir dosyaya tıklaması gerekir. Yürütülebilir dosya, her biri yürütülebilir dosyalar ve DLL’ler içeren çok sayıda şifrelenmiş kötü amaçlı dosyayı diske yazan bir damlalık görevi görür. Bunlardan biri, uzun bir komut listesi içeren kabuk kodu tabanlı bir arka kapı olan SnowyDrive’dır. Bunlar, dosya oluşturma, yazma veya silme komutlarını içerir; ilk dosya yüklemeleri; cmd.exe ters kabuğu oluşturun; sürücüleri listele; ve dosya/dizin aramasını başlatın. Kötü amaçlı yazılım, etki alanı kabuk koduna sabit olarak kodlanmış bir komut ve kontrol sunucusuyla iletişim kurar.