En ukendt hackinggruppe står bag en ny farlig trussel, der kaldes USBCulprit malware. Det er designet til lydløst at infiltrere sikrede systemer, som er air-gapped — dette betyder, at de ikke vil være forbundet til det eksterne netværk. Flere lande er i øjeblikket målrettet, primært beliggende i Asien.
Luftgapede computere, der er opspioneret efter den avancerede USBCulprit-malware
En ukendt hackinggruppe eller person har skabt en farlig ny trussel identificeret af mange sikkerhedseksperter som USBCulprit malware. I sammenligning med andre generelle vira er denne designet til at bryde ind i den såkaldte luftappede computerenheder. Dette er normalt kritisk infrastruktur, servere og andet højprofileret computerudstyr, der bevidst er isoleret fra andet netværksudstyr.
Der er flere navne, der bruges til at henvise til hacker og / eller selve malware: Goblin Panda, Cycldek og Conimes, takket være de analyserede prøver kan vi gennemgå, at et omfattende funktionssæt er blevet integreret. Der er flere kategorier, der bruges til at beskrive de individuelle handlinger, der kan udføres af malware:
- Filer Interaktion — Dette inkluderer alle handlinger, der er relateret til datamanipulation af enhver art: oprettelse af filer og ændring og fjernelse af eksisterende. Dette strækker sig også til mapper.
- datatyveri — Hackerne kan bruge USBCulprit malware til at stjæle filer fra de lokalt tilsluttede harddiske, flytbare lagerenheder og netværksdelinger, når de er tilgængelige.
- Sikkerhedsrelaterede opgaver — Denne kategori inkluderer de vigtigste metoder, der bruges til at hjælpe virussen med at infiltrere i målsystemerne.
I øjeblikket er den nøjagtige infektionsstrategi, der bruges af hackere bag truslen, stadig ikke kendt. Forskerne mener, at hovedmotoren er afhængig af aftageligt USB-medie. Dette betyder, at et inficeret USB-flashdrev eller et eksternt drev skal bringes ind i et netværk, der kan nå den målrettede computer, der er lukket.
Yderligere information om USBCulprit-malware
Infektioner, der fører til installation af USBCulprit-malware, er forårsaget af inficerede flytbare enheder eller tidligere virusaktivitet. Hackerne bruger en trussel kaldet Newcore som den vigtigste leveringsmekanisme for nyttelast. Selve det er opdelt i to versioner - BlueCore og RedCore. De omfatter keylogger-funktionalitet der er designet til at registrere tastetryk og musebevægelsesinput fra brugerne. En anden vigtig funktionalitet er integrationen af en RDP-stjælefunktion — det vil registrere, om der er installeret nogen eksternt desktop-login-software af computeradministratorerne og stjæler legitimationsoplysninger. Dette giver hackere mulighed for at overtage kontrollen over værterne via en legitim applikation. Fra et netværksadministratorperspektiv vil dette blive markeret som et almindeligt loginforsøg og vil ikke give nogen alarm om, at en ubuden gæst har fået adgang til netværket.
Disse to værktøjer inkluderer også funktionen til levere USBCulprit malware som en del af deres adfærdssekvens. En af de kommandoer, der er forbundet med denne trussel, er samling af dokumenter som derefter eksporteres til den tilsluttede flytbare lagerenhed. Hackerne fokuserer på en lateral bevægelsesstrategi hvilket betyder, at de vil stole på det inficerede USB-drev til at udføre andre infektioner.
En anden fremgangsmåde, der udføres af hackere bag truslen, er maskering af filkomponenter — hackerne får dem til at vises, da de er en del af et antivirusprogram. Dette maskerer loader og den virkelige virus.
De analyserede prøver indikerer, at malware indlæses via en kaldet mekanisme Kapning af DLL-ordreordre — dette vil skjule tilstedeværelsen af viruskoden og starte tavs i baggrunden. Lige nu hovedopgaven er at kapre følsomme data og placer det derefter i en krypteret RAR arkivfil. Det kopieres derefter til den flytbare lagerenhed, hvorfra den vil blive erhvervet af hackere. Det forventes, at fremtidige opdateringer tillader dataene at blive overført via Trojan-forbindelsen.