Durante o primeiro semestre de 2023, ocorreu um aumento notável nos ataques que exploravam unidades USB infectadas para roubo secreto.
Enquanto as campanhas de operação baseadas em USB causaram a maioria dos incidentes, impactando os setores público e privado em todo o mundo.
Analistas de segurança cibernética da Mandiant Managed Defense observaram recentemente duas campanhas de espionagem cibernética baseadas em unidades flash USB.
Os pesquisadores de segurança apelidaram as duas campanhas de: –
- Infecção por malware SOGU
- Infecção por malware SNOWYDRIVE
Fornecemos informações abrangentes sobre dois ataques baseados em USB que os hackers estão usando atualmente para atingir organizações públicas e privadas.
Infecção por malware SOGU
Este ataque de espionagem cibernética baseado em USB é altamente difundido, visando os setores público e privado em todo o mundo, tornando-se uma das campanhas mais agressivas em todos os setores.
Malware SOGU carregado por meio de unidades flash USB que roubam informações confidenciais vinculadas ao ator TEMP.Hex da China, provavelmente motivado por motivos econômicos e de segurança nacional, diz o relatório.
Na Europa, Ásia e Estados Unidos, vários setores enfrentam riscos decorrentes dessas operações, e aqui eles são mencionados abaixo: –
- Construção
- Engenharia
- Serviços prestados às empresas
- Governo
- Saúde
- Transporte
- Varejo
- Entretenimento
- Fabricação
- Educação
- Finança
- Logística
- Sem fins lucrativos
- meios de comunicação
- Comunicações
- ISTO
- Energia
- Farmacêutico
A unidade flash USB infectada atua como o vetor de infecção inicial, abrigando vários softwares maliciosos que acionam Sequestro de DLL para carregar uma carga maliciosa na memória.
Existem três arquivos que contém a cadeia de infecção completa e aqui eles são mencionados abaixo: –
- Um executável legítimo
- Um carregador de DLL malicioso
- Uma carga criptografada
Ao executar o executável legítimo, ele carrega lateralmente a DLL KORPLUG, iniciando a execução do shellcode descriptografado (arquivo .dat) associado ao Porta dos fundos SOGUidentificado pela Mandiant.
Depois de colocar um arquivo em lote no caminho RECYCLE.BIN, a infecção prossegue com o reconhecimento do host, armazenando os resultados em um arquivo chamado “sys.info” (decodificado em Base64 como c3lzLmluZm8).
O malware se disfarça como um programa genuíno, criando um diretório oculto para garantir sua presença contínua no sistema.
Para se comunicar com seu servidor de comando e controle, durante o estágio final do ataque, o malware exfiltra dados preparados por meio dos seguintes protocolos binários personalizados sobre TCP/UDP, ICMP:-
Infecção por malware SNOWYDRIVE
Usando unidades flash USB, esta campanha implanta o malware SNOWYDRIVE, estabelecendo um backdoor de host para execução remota de comandos, ao mesmo tempo que infecta outras unidades flash e se espalha pela rede.
UNC4698, uma ameaça cibernética focada no petróleo, foi identificada como fonte de campanha pela Mandiant. Esta campanha foi detectada pela primeira vez durante o Windows Caça à execução do processo do Explorer, revelando caminhos de pastas suspeitos (por exemplo, “F:”) frequentemente vinculados à execução de malware em unidades USB.
Como vetor de infecção inicial, a unidade flash USB infectada é usada e a vítima é atraída a clicar no arquivo malicioso disfarçado de executável legítimo, acionando o execuções maliciosas para os objetivos do atacante.
Cadeia de infecção por malware SNOWYDRIVE (fonte – Mandiant)
A cadeia de infecção começa com um conta-gotas executável que grava e lança arquivos maliciosos. Os executáveis e DLLs extraídos dos arquivos criptografados são gravados no diretório especificado:-
- C:\Usuários\Público\SymantecsThorvices\Bin
Existem quatro componentes que compõem esses arquivos, que são carregados por meio do sequestro de ordem de pesquisa de DLL, cada um contendo um executável legítimo e uma DLL maliciosa.
O backdoor SNOWYDRIVE gera um ID exclusivo a partir de informações do sistema para comunicação C2, com um domínio codificado em shellcode. Embora a persistência seja alcançada através do “KCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ushsguaei1hgba” valor de registro que armazena o caminho “Silverlight.Configuration.exe”.
O malware se duplica em unidades removíveis conectadas, formando “
As organizações são fortemente incentivadas a priorizar as restrições de acesso a dispositivos externos, como unidades USB, ou a realizar verificações completas em busca de arquivos maliciosos antes da conexão de rede.
