В первой половине 2023 года компания Mandiant Managed Defense отметила трехкратное увеличение числа атак с использованием зараженных USB-накопителей для кражи секретов. Mandiant отследила все случаи и обнаружила, что большинство инцидентов можно отнести к нескольким активным кампаниям по использованию USB-накопителей, затрагивающим как государственный, так и частный сектор по всему миру.
SOGU Malware
Заражение вредоносным ПО SOGU через USB-накопители в различных отраслях и географических регионах
Это самая распространенная атака кибершпионажа с использованием USB-накопителей и одна из самых агрессивных кампаний кибершпионажа, направленных на организации государственного и частного сектора по всему миру в различных отраслях. Она использует USB-накопители для загрузки вредоносной программы SOGU с целью кражи конфиденциальной информации с хоста.
Mandiant приписывает эту кампанию TEMP.Hex, связанному с Китаем субъекту кибершпионажа. Вероятно, TEMP.Hex проводит эти атаки с целью сбора информации для поддержки национальной безопасности и экономических интересов Китая. Эти атаки представляют опасность для различных отраслей промышленности, включая строительство и инжиниринг, бизнес-услуги, государственное управление, здравоохранение, транспорт и розничную торговлю в Европе, Азии и США.
Заражение вредоносным ПО SNOWYDRIVE через USB-накопители, направленное на организации нефтегазовой отрасли в Азии
В этой кампании для доставки вредоносной программы SNOWYDRIVE используются USB-накопители. После загрузки SNOWYDRIVE создает бэкдор в хост-системе, позволяя злоумышленникам удаленно выполнять системные команды. Кроме того, вредоносная программа распространяется на другие USB-накопители и распространяется по всей сети.
Mandiant связывает эту кампанию с UNC4698, агентом, атакующим нефтегазовые организации в Азии. Получив доступ к системе, злоумышленники выполняют произвольную полезную нагрузку с помощью командной строки Windows, используют съемные носители, создают локальные каталоги и модифицируют реестр Windows.
Indicators of Compromise
IPv4
- 103.56.53.46
- 43.254.217.165
- 45.142.166.112
- 45.251.240.55
Domains
- www.beautyporntube.com
MD5
- 028201d92b2b41cb6164430232192062
- 38baabddffb1d732a05ffa2c70331e21
- 722b15bbc15845e4e265a1519c800c34
- 848feec343111bc11cceb828b5004aad
- ab5d85079e299ac49fcc9f12516243de
- b061d981d224454ffd8d692cf7ee92b7
- e1cea747a64c0d74e24419ab1afe1970
- ebb7749069a9b5bcda98d89f04d889db
- fc55344597d540453326d94eb673e750