信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/~陽光~。

近期，網(wǎng)絡(luò)犯罪分子利用U盤進(jìn)行惡意軟件攻擊的事件大幅增加。據(jù)Mandiant的安全研究人員稱，在2023年上半年，通過U盤竊取敏感信息的惡意軟件攻擊增加了三倍之多。這些研究人員還披露了兩個(gè)具體的攻擊活動(dòng)的細(xì)節(jié)。

其中一個(gè)攻擊活動(dòng)是由網(wǎng)絡(luò)間諜組織TEMP.Hex發(fā)起的，目標(biāo)是針對歐洲、亞洲和美國的公共和私營機(jī)構(gòu)進(jìn)行攻擊。

這些U盤中包含了多種惡意軟件，并采用DLL劫持技術(shù)將最終有效載荷下載到被入侵系統(tǒng)的內(nèi)存中。一旦這些惡意代碼被執(zhí)行，SOGU惡意軟件就會執(zhí)行各種操作，如捕獲屏幕截圖、記錄鍵盤輸入、建立反向shell連接以及啟用遠(yuǎn)程桌面連接執(zhí)行其他文件。

這些被竊取的數(shù)據(jù)可以通過TCP、UDP或ICMP使用自定義二進(jìn)制協(xié)議發(fā)送到攻擊者的命令和控制（C2）服務(wù)器內(nèi)。此次攻擊活動(dòng)的目標(biāo)行業(yè)包括建筑、工程、政府、制造、零售、媒體和制藥行業(yè)。

在一次攻擊活動(dòng)中，受害者被誘使點(diǎn)擊一個(gè)文件，該文件看似是一個(gè)在U盤根目錄下發(fā)現(xiàn)的合法的可執(zhí)行文件。在執(zhí)行該文件后，就會使得感染鏈觸發(fā)，然后下載一個(gè)名為SNOWYDRIVE的基于shellcode的后門程序。

該惡意軟件不僅會將自身復(fù)制到與受感染系統(tǒng)相連的可移動(dòng)驅(qū)動(dòng)器上，而且還會執(zhí)行各種其他的惡意操作，如寫入或刪除文件、進(jìn)行文件上傳以及執(zhí)行反向的shell命令。

最近，Check Point研究小組發(fā)現(xiàn)了一個(gè)新的基于USB的攻擊活動(dòng)，該活動(dòng)是由一個(gè)名為"Camaro"的組織發(fā)起的。

該攻擊活動(dòng)專門針對歐洲的一家醫(yī)療機(jī)構(gòu)進(jìn)行攻擊，這其中涉及部署多個(gè)新版本的惡意軟件工具集，包括WispRider和HopperTick。據(jù)報(bào)道，Camaro利用有效的U盤在緬甸、韓國、英國、印度和俄羅斯發(fā)起攻擊。

目前專家強(qiáng)烈建議企業(yè)優(yōu)先考慮針對USB設(shè)備的訪問做限制，并在將USB設(shè)備連接到網(wǎng)絡(luò)之前對惡意文件進(jìn)行全面的掃描。

參考及來源：https://www.cysecurity.news/2023/07/sharp-increase-in-malware-attacks-via.html