暴涨3倍!通过受感染 USB 窃密的事件愈发变多
💡
原文中文,约8700字,阅读约需21分钟。
📝
内容提要
2023年上半年,Mandiant观察到使用受感染USB驱动器窃取机密数据的事件增加了3倍。介绍了两次基于USB驱动器的网络间谍行动,分别针对全球各行业的公共与私营部门以及亚洲石油与天然气公司。恶意软件通过DLL劫持加载到内存中,并执行各种命令。Mandiant建议限制对USB驱动器的访问,并扫描是否存在恶意代码。
🎯
关键要点
- 2023年上半年,Mandiant观察到使用受感染USB驱动器窃取机密数据的事件增加了3倍。
- 介绍了两次基于USB驱动器的网络间谍行动,分别针对公共与私营部门以及亚洲石油与天然气公司。
- 攻击者通过USB驱动器加载SOGU恶意软件,窃取主机的敏感信息。
- Mandiant将SOGU攻击归因于TEMP.Hex攻击团伙,目标包括多个行业。
- 攻击者使用USB驱动器传播SNOWYDRIVE恶意软件,创建后门并远程发送命令。
- Mandiant将SNOWYDRIVE攻击归因于UNC4698,主要针对亚洲石油与天然气公司。
- 受感染的USB驱动器是初始感染媒介,包含多个恶意软件。
- 完整的感染链通常由合法可执行文件、恶意DLL加载文件与加密的Payload文件组成。
- 恶意软件通过DLL劫持将恶意Payload加载到内存中。
- 恶意软件会加密文件并将其存储在特定目录中。
- 为了保持持久化,恶意软件会创建伪装成合法程序的目录并设置为隐藏。
- 攻击的最后阶段,恶意软件将回传所有数据并支持多种命令。
- 组织应优先限制对USB驱动器等外部设备的访问,并扫描是否存在恶意代码。
➡️
