关于ZAKER 融媒体解决方案 合作 加入

收到包含泰迪熊和 USB 的礼物包裹?来自 FIN7 APT 组织的“阴谋”

51CTO 03-30

以网络钓鱼邮件攻击企业闻名的 FIN7 APT 组织,正在针对企业网络发动新一轮的攻击。

作者:kirazhou 来源:FreeBuf|2020-03-30 15:18

收藏

分享

该组织部署了新的战术,通过美国邮政服务 ( USPS ) 给目标企业的人力资源 ( HR ) ,信息技术 ( IT ) 或执行管理 ( EM ) 等部门的员工邮寄包裹,包裹中一般包含 USB 设备、礼品卡等。当员工将 USB 设备插入计算机时,会注入命令以下载并执行以 GRIFFON 跟踪的 JavaScript 后门。

攻击案例

Trustwave 的专家分析了其中一次攻击。该网络安全公司的一位客户收到了一个邮件,据信是百思买 ( Best Buy ) 给到其忠实客户的 50 美元礼品卡。其中还包括一个看似无害的 USB 驱动器,声称里面包含一个物品清单。

这样的包裹被发送给多家企业,包括零售业、餐饮、酒店。武器化的 USB 设备模仿用户击键特征,启动 PowerShell 命令从远程服务器检索恶意软件。专家们观察到恶意代码联络域名与 IP 地址位于俄罗斯。

事实上,攻击者很容易找到像 Arduino 这样的开发板,进行配置为模拟键盘等人机界面设备 ( HID ) ,并启动一组预先配置的击键来加载和执行任何类型的恶意软件。分析中,研究人员检查了驱动器上是否有序列号等字样。在印刷电路板驱动器的顶部,看到了 "HW-374"。通过谷歌搜索,很快地在 shopee.tw 上搜索到一个 "BadubLeonardoUSBATMag32U4" 出售。

该 USB 设备使用 Arduino 微控制器 ATMEGA32U4,并编程模拟 USB 键盘。由于 PC 默认情况下信任键盘 USB 设备,一旦插入,键盘模拟器就会自动插入恶意命令。然后 Powershell 脚本运行第三阶段 JavaScript,收集系统信息并删除其他恶意软件。根据 FBI 的警告,一旦收集到目标的信息,FIN7 组织就开始横向移动以获取管理权限。在收集到的信息发送到 C&C 服务器之后。主 Jscript 代码会进入一个无限循环,在每个循环迭代中睡眠 2 分钟,然后从命令和控件获取一个新命令。

总之,一旦 USB 控制器芯片被重新编程用于其他用途 ( 如模拟 USB 键盘 ) ,这些设备就可以被用来发动攻击,并在用户不知情的情况下感染他们的计算机。再加上这些设备非常便宜,任何人都可以随时使用,这也意味着攻击者野外利用这些技术和设备只是时间问题。

可能很快,攻击者将从简单的 USB 闪存转移到更高级的攻击方案,例如 USB 电缆 ( 例如#USBsamurai#EvilCrow ) 。攻击者在其内部使用 " 恶意植入物 " 可以进行 BADUSB类型的攻击。再比如鼠标或 USB 风扇中嵌入 "WHIDelite" ……

【编辑推荐】

美司法部起诉中国 " 网络攻击 ",故事开头要从 Struts 漏洞说起

企业面临这些网络攻击风险,却很少采取预防措施?

企业面临这些网络攻击风险,却很少采取预防措施?

5G 时代下网络攻击成本揭秘

黑客组织 Fancy Bear:窃取高知名度的网络钓鱼电子邮件帐户

【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0

网络钓鱼邮件攻击网络攻击

分享 :

大家都在看猜你喜欢

以上内容由"51CTO"上传发布 查看原文

觉得文章不错,微信扫描分享好友

扫码分享