Cybersikkerhedsfirmaet Mandiant afslørede for nylig en økonomisk motiveret trusselsaktør, UNC4990, ved hjælp af USB udstyr til indledende infektioner. Gruppen udnytter legitime online platforme såsom GitHub, Vimeo, og Ars Technica. Trusselsaktøren skjuler smart kodet nyttelast i tilsyneladende godartet indhold på disse platforme, undgå mistanke og udnytte pålidelige indholdsleveringsnetværk.
Et kig på UNC4990 USB-baserede angreb
Angriberne starter deres kampagne gennem USB-enheder, der indeholder ondsindede LNK-genvejsfiler, i henhold til rapporten. Når ofre utilsigtet udfører genvejen, et PowerShell-script ved navn explorer.ps1 er aktiveret. Dette script downloader en mellemliggende nyttelast, som afkoder til en URL for at hente malware-downloaderen ved navn 'EMPTYSPACE.’
UNC4990 anvender forskellige hostingmetoder til mellemliggende nyttelaster, inklusive kodede tekstfiler på GitHub og GitLab. Men, de har ændret strategier for at misbruge Vimeo og Ars Technica til hosting af Base64-kodede og AES-krypterede strengnyttelast. Især, angriberne udnytter ikke sårbarheder i disse platforme, men bruger almindelige funktioner som Ars Technica-forumprofiler og Vimeo-videobeskrivelser.
Disse nyttelast, harmløse tekststrenge på hostingplatformene, spiller en afgørende rolle i angrebskæden, lette download og eksekvering af malware. Ved at integrere nyttelast i lovligt indhold og bruge velrenommerede platforme, UNC4990 undgår mistanke og udnytter betroede netværk, gør det udfordrende for sikkerhedssystemer at markere dem som mistænkelige.
UNC4990-angrebskæden skrider frem med implementeringen af QUIETBOARD, en sofistikeret bagdør med forskellige muligheder. Denne multi-komponent bagdør, først er aktiveret,, udfører kommandoer fra kommandoen og kontrollen (C2) server, ændrer udklipsholderens indhold for tyveri af kryptovaluta, inficerer USB-drev for at sprede malware, tager skærmbilleder for informationstyveri, og indsamler detaljerede system- og netværksoplysninger. QUIETBOARD demonstrerer vedholdenhed på tværs af systemgenstarter og understøtter tilføjelsen af nye funktionaliteter gennem ekstra moduler.
På trods af konventionelle forebyggende foranstaltninger, USB-baseret malware fortsat udgør en væsentlig trussel, fungerer som et effektivt udbredelsesmedium for cyberkriminelle. Den unikke taktik i UNC4990, at udnytte tilsyneladende harmløse platforme til mellemliggende nyttelast, udfordrer konventionelle sikkerhedsparadigmer og understreger behovet for konstant årvågenhed i det stadigt udviklende landskab af cybersikkerhed.