Los ataques cibernéticos que utilizan unidades de infección USB infectadas como vector de acceso inicial se triplicaron en la primera mitad de 2023.
Eso es según los nuevos hallazgos de Mandiant, que detallaron dos campañas de este tipo: SOGU y SNOWYDRIVE – dirigido a entidades del sector público y privado en todo el mundo.
SOGU es el “ataque de espionaje cibernético basado en USB más frecuente que utiliza unidades flash USB y una de las campañas de espionaje cibernético más agresivas dirigidas a organizaciones del sector público y privado a nivel mundial en todos los sectores verticales de la industria”, la firma de inteligencia de amenazas propiedad de Google. dicho.
La actividad se ha atribuido a un grupo con sede en China llamado TEMP.Hex, que también se rastrea con los nombres Camaro Dragon, Earth Preta y Mustang Panda. Los objetivos incluyen construcción e ingeniería, servicios comerciales, gobierno, salud, transporte y comercio minorista en Europa, Asia y EE. UU.
La cadena de infección detallada por Mandiant exhibe similitudes tácticas con otra campaña de Mustang Panda descubierta por Check Point, que reveló una variedad de malware autopropagante llamado WispRider que se propaga a través de unidades USB comprometidas y potencialmente viola los sistemas con brechas de aire.
Todo comienza con una unidad flash USB maliciosa conectada a una computadora, lo que lleva a la ejecución de PlugX (también conocido como Korplug), que luego descifra y lanza una puerta trasera basada en C llamada SOGU que extrae archivos de interés, pulsaciones de teclas y capturas de pantalla.
SNOWYDRIVE apunta a organizaciones de petróleo y gas en Asia
El segundo grupo que aprovecha el mecanismo de infiltración de USB es UNC4698, que seleccionó a las organizaciones de petróleo y gas en Asia para entregar el malware SNOWYDRIVE para ejecutar cargas útiles arbitrarias en los sistemas pirateados.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
“Una vez que se carga SNOWYDRIVE, crea una puerta trasera en el sistema host, lo que brinda a los atacantes la capacidad de emitir comandos del sistema de forma remota”, dijeron los investigadores de Mandiant Rommel Joven y Ng Choon Kiat. “También se propaga a otras unidades flash USB y se propaga por toda la red”.
En estos ataques, se atrae a la víctima para que haga clic en un archivo con trampa explosiva que se hace pasar por un ejecutable legítimo, lo que activa una cadena de acciones maliciosas, comenzando con un cuentagotas que establece un punto de apoyo, seguido de la ejecución del implante SNOWYDRIVE.
Algunas de las funcionalidades del backdoor consisten en realizar búsquedas de archivos y directorios, cargar y descargar archivos y ejecutar un shell inverso.
“Las organizaciones deberían priorizar la implementación de restricciones en el acceso a dispositivos externos como unidades USB”, dijeron los investigadores. “Si esto no es posible, al menos deberían escanear estos dispositivos en busca de archivos o códigos maliciosos antes de conectarlos a sus redes internas”.