İlk erişim vektörü olarak virüslü USB bulaşma sürücülerini kullanan siber saldırılar, 2023’ün ilk yarısında üç kat artışa tanık oldu.
Bu, böyle iki kampanyayı detaylandıran Mandiant’ın yeni bulgularına göre – HİKAYE Ve KAR SÜRÜCÜSÜ – dünya çapında hem kamu hem de özel sektör kuruluşlarını hedeflemek.
Google’ın sahip olduğu tehdit istihbaratı firması, SOGU’nun “USB flash sürücülerin kullanıldığı en yaygın USB tabanlı siber casusluk saldırısı ve dünya genelinde sektör dikeylerinde hem kamu hem de özel sektör kuruluşlarını hedef alan en agresif siber casusluk kampanyalarından biri” olduğunu söyledi.
Etkinlik, Camaro Dragon, Earth Preta ve Mustang Panda adlarıyla da izlenen TEMP.Hex adlı Çin merkezli bir kümeye atfedildi. Hedefler arasında Avrupa, Asya ve ABD’de inşaat ve mühendislik, ticari hizmetler, hükümet, sağlık, ulaşım ve perakende yer alıyor.
Mandiant tarafından detaylandırılan bulaşma zinciri, güvenliği ihlal edilmiş USB sürücüler yoluyla yayılan ve potansiyel olarak hava boşluklu sistemleri ihlal eden WispRider adlı kendi kendine yayılan bir kötü amaçlı yazılım türünü örtbas eden Check Point tarafından detaylandırılan başka bir kampanyayla taktiksel ortaklıklar sergiliyor.
Her şey bir bilgisayara takılan kötü amaçlı bir USB flash sürücüyle başlar ve PlugX’in (diğer adıyla Korplug) yürütülmesine yol açar, bu da daha sonra şifresini çözer ve ilgili dosyaları, tuş vuruşlarını ve ekran görüntülerini sızdıran SOGU adlı C tabanlı bir arka kapıyı başlatır.
SNOWYDRIVE, Asya’daki Petrol ve Gaz Kuruluşlarını Hedefliyor
USB sızma mekanizmasından yararlanan ikinci küme, saldırıya uğramış sistemlerde keyfi yükler yürütmek için SNOWYDRIVE kötü amaçlı yazılımını dağıtmak üzere Asya’daki petrol ve gaz kuruluşlarını seçen UNC4698’dir.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
Mandiant araştırmacıları Rommel Joven ve Ng Choon Kiat, “SNOWYDRIVE yüklendikten sonra, ana bilgisayar sisteminde bir arka kapı oluşturarak saldırganlara uzaktan sistem komutları verme yeteneği veriyor,” dedi. “Ayrıca diğer USB flash sürücülere de yayılıyor ve ağ boyunca yayılıyor.”
Bu saldırılarda kurban, meşru bir yürütülebilir dosya gibi görünen bubi tuzaklı bir dosyaya tıklamaya ikna edilir ve böylece bir dayanak noktası oluşturan bir damlalık ile başlayan ve ardından SNOWYDRIVE implantını çalıştıran bir kötü niyetli eylemler zincirini etkinleştirir.
Arka kapının işlevlerinden bazıları, dosya ve dizin aramaları yapmak, dosyaları karşıya yüklemek ve indirmek ve bir ters kabuk başlatmaktan oluşur.
Araştırmacılar, “Kuruluşlar, USB sürücüler gibi harici cihazlara erişim kısıtlamalarını uygulamaya öncelik vermelidir” dedi. Bu mümkün değilse, en azından bu cihazları kendi iç ağlarına bağlamadan önce kötü amaçlı dosya veya kod taraması yapmalıdırlar.”