Новости Неизвестные киберпреступники используют USB-накопители для шпионажа в Азии

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Защищённые флешки оказались не такими уж безопасными.


wd742awt3pcb9yowjh5hdjzzgiuhjftr.jpg


Исследователи безопасности Лаборатории Касперского Для просмотра ссылки Войди или Зарегистрируйся новую кампанию под названием TetrisPhantom, в ходе которой защищенные USB-накопители используются для атаки на правительственные системы стран Азиатско-Тихоокеанского региона.

Защищенные USB-накопители хранят файлы в зашифрованной части устройства и используются для безопасной передачи данных между системами, в том числе в изолированной среде. Доступ к защищенному разделу осуществляется с помощью специализированного ПО, которое расшифровывает содержимое на основе пароля, предоставленного пользователем. Одной из таких программ является UTetris.exe, которая находится в незашифрованной части USB-накопителя.

Специалисты обнаружили зараженные троянами версии приложения UTetris, развернутые на защищенных USB-устройствах в ходе кампании, которая длилась как минимум несколько лет и была нацелена на правительства стран Азиатско-Тихоокеанского региона. TetrisPhantom использует различные инструменты, команды и компоненты вредоносного ПО, указывающие на высококвалифицированную и хорошо финансируемую группировку.

По словам исследователей, атака включает в себя сложные инструменты и методы, в том числе:

  • программную обфускацию компонентов вредоносного ПО на основе виртуализации;
  • низкоуровневую связь с USB-накопителем с использованием прямых команд SCSI;
  • саморепликацию через подключенные защищенные USB-накопители для распространения на другие изолированные системы;
  • внедрение кода в легитимную программу управления доступом на USB-накопителе, которая действует как загрузчик вредоносного ПО на новом компьютере

Лаборатория Касперского также предоставила дополнительные детали атаки с использованием зараженного приложения Utetris, которая начинается с выполнения на целевой машине полезной нагрузки под названием AcroShell. Нагрузка устанавливает линию связи с сервером управления и контроля (Command and Control, C2 ), может получать и выполнять дополнительные полезные нагрузки для кражи документов и конфиденциальных файлов, а также собирать сведения об используемых USB-накопителях.

Злоумышленники также используют собранную информацию для исследования и разработки другого вредоносного ПО, называемого XMKR, и трояна UTetris.exe. Модуль XMKR развертывается на компьютере с ОС Windows и ответственен за заражение защищённых USB-накопителей, подключенных к системе, с целью распространения атаки на потенциально изолированные системы.

Возможности XMKR на устройстве включают кражу файлов в шпионских целях и запись данных на USB-накопители. Информация о скомпрометированном USB-накопителе затем попадает на C2-сервер , когда устройство хранения данных подключается к подключенному к Интернету компьютеру, зараженному AcroShell.

Специалисты подтвердили, что атаки продолжаются уже несколько лет, и главной целью TetrisPhantom является шпионаж. Исследователи отмечают небольшое количество заражённых правительственных сетей, что указывает на целенаправленную операцию.
 
Источник новости
www.securitylab.ru

Похожие темы