Das Cybersicherheitsunternehmen Mandiant hat kürzlich einen finanziell motivierten Bedrohungsakteur aufgedeckt, UNC4990, unter Verwendung von USB Geräte für Erstinfektionen. Die Gruppe nutzt legitime Online-Plattformen wie GitHub aus, Vimeo, und Ars Technica. Der Bedrohungsakteur versteckt geschickt verschlüsselte Nutzlasten in scheinbar harmlosen Inhalten auf diesen Plattformen, Vermeiden Sie Verdacht und nutzen Sie vertrauenswürdige Content-Delivery-Netzwerke.
Ein Blick auf UNC4990-USB-basierte Angriffe
Die Angreifer starten ihre Kampagne über USB-Geräte, die schädliche LNK-Verknüpfungsdateien enthalten, entsprechend der Bericht. Wenn Opfer versehentlich die Verknüpfung ausführen, ein PowerShell-Skript namens explorer.ps1 wird aktiviert. Dieses Skript lädt eine Zwischennutzlast herunter, Dies wird in eine URL zum Abrufen des Malware-Downloaders mit dem Namen „EMPTYSPACE“ dekodiert.’
UNC4990 verwendet verschiedene Hosting-Methoden für zwischengeschaltete Nutzlasten, einschließlich codierter Textdateien auf GitHub und GitLab. Jedoch, Sie haben ihre Strategien geändert, um Vimeo und Ars Technica für das Hosten von Base64-codierten und AES-verschlüsselten String-Payloads zu missbrauchen. Vor allem, Die Angreifer nutzen keine Schwachstellen in diesen Plattformen aus, sondern nutzen reguläre Funktionen wie Ars Technica-Forenprofile und Vimeo-Videobeschreibungen.
Diese Nutzlasten, harmlose Textzeichenfolgen auf den Hosting-Plattformen, spielen eine entscheidende Rolle in der Angriffskette, Erleichterung des Herunterladens und Ausführens von Malware. Durch die Einbettung von Nutzlasten in legitime Inhalte und die Nutzung seriöser Plattformen, UNC4990 entgeht jedem Verdacht und nutzt vertrauenswürdige Netzwerke, Dies macht es für Sicherheitssysteme schwierig, sie als verdächtig zu kennzeichnen.
Die UNC4990-Angriffskette schreitet mit der Bereitstellung von QUIETBOARD voran, eine ausgeklügelte Hintertür mit vielfältigen Funktionen. Diese Mehrkomponenten-Hintertür, einmal aktiviert, führt Befehle aus dem Befehls- und Kontrollbereich aus (C2) Server, Ändert den Inhalt der Zwischenablage für Kryptowährungsdiebstahl, infiziert USB-Laufwerke, um Malware zu verbreiten, Erfasst Screenshots zum Zweck des Informationsdiebstahls, und sammelt detaillierte System- und Netzwerkinformationen. QUIETBOARD zeigt Beständigkeit bei Systemneustarts und unterstützt das Hinzufügen neuer Funktionen durch zusätzliche Module.
Trotz herkömmlicher Präventionsmaßnahmen, USB-basierte Malware stellt weiterhin eine erhebliche Bedrohung dar, dient als wirksames Verbreitungsmedium für Cyberkriminelle. Die einzigartige Taktik von UNC4990, Nutzung scheinbar harmloser Plattformen für Zwischennutzlasten, stellt herkömmliche Sicherheitsparadigmen in Frage und unterstreicht die Notwendigkeit kontinuierlicher Wachsamkeit in der sich ständig weiterentwickelnden Landschaft der Cybersicherheit.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: