Duas campanhas contínuas de espionagem cibernética voltadas para organizações em vários setores e regiões demonstram a importância para as equipes de segurança de restringir o acesso a unidades USB e outros dispositivos externos nos sistemas dos funcionários.
Em uma das campanhas, um agente de ameaças vinculado à China, rastreado como TEMP.Hex, está usando unidades flash USB para carregar malware para roubar informações confidenciais de sistemas host. Uma vez no sistema, o malware, apelidado de “Sogu”, pode se copiar para qualquer unidade removível conectada ao host infectado, dando assim ao invasor uma maneira de espalhar a carga útil para outros sistemas, incluindo, potencialmente, sistemas sem ar.
Pesquisadores da Mandiant descobriram recentemente a ameaça e acreditam que o TEMP.Hex está usando o Sogu para coletar informações que têm interesse econômico e de segurança nacional para a China. O fornecedor de segurança avaliou a campanha como uma ameaça para organizações em vários setores, principalmente em engenharia, construção, governo, transporte, saúde e serviços empresariais.
Os pesquisadores da Mandiant disseram que um agente de ameaça que está rastreando como UNC4698 é responsável por outra grande campanha cibernética em andamento, também usando unidades USB infectadas para instalar malware nos sistemas das vítimas. O malware nesta campanha, apelidado de “SnowyDrive”, cria um backdoor nos sistemas que infecta, para que o ciberataque tenha uma maneira de interagir remotamente com o dispositivo e emitir comandos. As organizações que estão na mira da UNC4698 para esta campanha são organizações de petróleo e gás na Ásia.
De acordo com a Mandiant, houve um aumento de três vezes nos ataques envolvendo unidades USB no primeiro semestre de 2023, embora o ímpeto imediato para o aumento repentino permaneça incerto. Embora os incidentes envolvendo unidades USB envenenadas permaneçam um tanto raros em relação a outros vetores de ataque cibernético, houve vários casos em que os agentes de ameaças — incluindo grandes grupos profissionais — empregaram a tática.
O malware implantado em USB ressurge
Sogu e SnowyDrive são apenas duas ferramentas de malware que os pesquisadores da Mandiant – e outros – observaram recentemente que agentes de ameaças implantavam por meio de unidades flash USB infectadas. Em dezembro, a Mandiant informou sobre outro agente de ameaças vinculado à China, o UNC4191, que estava implantando quatro famílias de malware separadas em sistemas infectados por meio de unidades USB. As vítimas dessa campanha incluíam organizações dos setores público e privado no Sudeste Asiático e, em menor grau, nos Estados Unidos, Europa e região da Ásia-Pacífico.
Em junho, a Check Point descreveu um incidente que investigou recentemente, onde um agente de ameaça da China apelidado de ” Camaro Dragon ” (também conhecido como Mustang Panda) obteve acesso a uma rede hospitalar por meio de uma unidade USB infectada e implantou malware autopropagado para roubar dados.
E o notório grupo FIN7 com motivação financeira (também conhecido como Carbanak) atraiu a atenção do FBI no ano passado quando enviou USBs carregados de ransomware – disfarçados para parecer que eram do Departamento de Saúde e Serviços Humanos dos EUA – para alvos nos EUA defesa, transporte , e outros setores.
“As organizações devem priorizar a implementação de restrições de acesso a dispositivos externos, como drivers USB”, escreveram os pesquisadores da Mandiant, Rommel Joven e NG Choon Kiat, em um post recente. “Se isso não for possível, eles devem pelo menos escanear esses dispositivos em busca de arquivos ou códigos maliciosos antes de conectá-los às suas redes internas”.
Malware USB: projetado para roubar
Como todos os ataques baseados em USB, as campanhas Sogu e SnowyDrive dependem de os usuários pegarem um USB não autorizado, inserindo-o em seu sistema e seguindo os prompts subsequentes. O relatório da Mandiant identificou hotéis e gráficas locais como possíveis focos de infecção, onde os alvos podem estar em viagens de negócios e menos vigilantes quanto à segurança.
Com a campanha Sogu, a unidade flash USB armada inicialmente carrega três arquivos quando um usuário insere o dispositivo em um sistema host: um executável legítimo, um carregador de biblioteca de vínculo dinâmico (DLL) malicioso e uma carga criptografada. Quando executado, o executável legítimo – normalmente, software de segurança como Symantec ou Avast – carrega “Korplug”, um arquivo DLL malicioso, que então descriptografa e carrega o backdoor Sogu na memória. As etapas subsequentes na cadeia de infecção incluem a coleta de metadados específicos do sistema pelo malware, a pesquisa na unidade C em busca de arquivos com .docx, .doc, .ppt, .pdf e outras extensões. O malware também executa etapas separadas para organizar todas as informações recuperadas, exfiltrar os dados e, finalmente, manter sua presença em um sistema infectado.
“O malware pode incluir HTTP, HTTPS, um protocolo binário personalizado sobre TCP ou UDP e ICMP para se comunicar com seu servidor de comando e controle”, disse Mandiant. “Também foi descoberto que o malware suporta uma ampla gama de comandos, incluindo transferência de arquivos, execução de arquivos, área de trabalho remota, captura de tela, shell reverso e keylogging”.
Com o SnowyDrive, depois que o USB é inserido em um sistema, o usuário precisa clicar em um executável malicioso que é falsificado para parecer um arquivo legítimo. O executável funciona como um conta-gotas que grava vários arquivos maliciosos criptografados no disco, cada um contendo executáveis e DLLs. Um deles é o SnowyDrive, um backdoor baseado em shellcode que contém uma longa lista de comandos. Isso inclui comandos para criar, gravar ou excluir arquivos; carregamentos iniciais de arquivos; criar shell reverso cmd.exe; listar unidades; e inicie a pesquisa de arquivos/diretórios. O malware se comunica com um servidor de comando e controle cujo domínio é codificado no shellcode.
FONTE: DARKREADING