Casa > Cyber ​​Notizie > UNC4990 Threat Group Exploits USB Devices and Legitimate Platforms
CYBER NEWS

Il gruppo di minacce UNC4990 sfrutta dispositivi USB e piattaforme legittime

La società di sicurezza informatica Mandiant ha recentemente scoperto un attore di minacce motivato finanziariamente, UNC4990, utilizzando USB dispositivi per le infezioni iniziali. Il gruppo sfrutta piattaforme online legittime come GitHub, Vimeo, e Ars Technica. L'autore della minaccia nasconde abilmente i payload codificati all'interno di contenuti apparentemente innocui su queste piattaforme, eludere i sospetti e sfruttare reti di distribuzione di contenuti affidabili.

Il gruppo di minacce UNC4990 sfrutta dispositivi USB e piattaforme legittime

Uno sguardo agli attacchi basati su USB UNC4990

Gli aggressori avviano la loro campagna tramite dispositivi USB contenenti file di collegamento LNK dannosi, secondo il rapporto. Quando le vittime eseguono inavvertitamente la scorciatoia, viene attivato uno script PowerShell denominato explorer.ps1. Questo script scarica un payload intermedio, che viene decodificato in un URL per recuperare il downloader di malware denominato "EMPTYSPACE".’

UNC4990 utilizza vari metodi di hosting per i carichi utili intermedi, inclusi file di testo codificati su GitHub e GitLab. Tuttavia, hanno cambiato strategia per abusare di Vimeo e Ars Technica per l'hosting di payload di stringhe codificate Base64 e crittografate AES. In particolare, gli aggressori non sfruttano le vulnerabilità di queste piattaforme ma utilizzano funzionalità regolari come i profili del forum Ars Technica e le descrizioni dei video Vimeo.

Questi carichi utili, stringhe di testo innocue sulle piattaforme di hosting, svolgono un ruolo fondamentale nella catena di attacco, facilitando il download e l'esecuzione di malware. Incorporando payload all'interno di contenuti legittimi e utilizzando piattaforme affidabili, UNC4990 elude i sospetti e sfrutta le reti affidabili, rendendo difficile per i sistemi di sicurezza segnalarli come sospetti.




La catena di attacco UNC4990 prosegue con l'implementazione di QUIETBOARD, una backdoor sofisticata con diverse funzionalità. Questa backdoor multicomponente, una volta attivato, esegue i comandi dal comando e controllo (C2) server, altera il contenuto degli appunti per il furto di criptovaluta, infetta le unità USB per diffondere malware, cattura screenshot per il furto di informazioni, e raccoglie informazioni dettagliate sul sistema e sulla rete. QUIETBOARD dimostra persistenza durante i riavvii del sistema e supporta l'aggiunta di nuove funzionalità attraverso moduli aggiuntivi.

Nonostante le misure di prevenzione convenzionali, Malware basato su USB continua a rappresentare una minaccia significativa, fungere da mezzo di propagazione efficace per i criminali informatici. La tattica unica di UNC4990, sfruttando piattaforme apparentemente innocue per carichi utili intermedi, sfida i paradigmi di sicurezza convenzionali e sottolinea la necessità di una vigilanza continua nel panorama in continua evoluzione della sicurezza informatica.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo