La società di sicurezza informatica Mandiant ha recentemente scoperto un attore di minacce motivato finanziariamente, UNC4990, utilizzando USB dispositivi per le infezioni iniziali. Il gruppo sfrutta piattaforme online legittime come GitHub, Vimeo, e Ars Technica. L'autore della minaccia nasconde abilmente i payload codificati all'interno di contenuti apparentemente innocui su queste piattaforme, eludere i sospetti e sfruttare reti di distribuzione di contenuti affidabili.
Uno sguardo agli attacchi basati su USB UNC4990
Gli aggressori avviano la loro campagna tramite dispositivi USB contenenti file di collegamento LNK dannosi, secondo il rapporto. Quando le vittime eseguono inavvertitamente la scorciatoia, viene attivato uno script PowerShell denominato explorer.ps1. Questo script scarica un payload intermedio, che viene decodificato in un URL per recuperare il downloader di malware denominato "EMPTYSPACE".’
UNC4990 utilizza vari metodi di hosting per i carichi utili intermedi, inclusi file di testo codificati su GitHub e GitLab. Tuttavia, hanno cambiato strategia per abusare di Vimeo e Ars Technica per l'hosting di payload di stringhe codificate Base64 e crittografate AES. In particolare, gli aggressori non sfruttano le vulnerabilità di queste piattaforme ma utilizzano funzionalità regolari come i profili del forum Ars Technica e le descrizioni dei video Vimeo.
Questi carichi utili, stringhe di testo innocue sulle piattaforme di hosting, svolgono un ruolo fondamentale nella catena di attacco, facilitando il download e l'esecuzione di malware. Incorporando payload all'interno di contenuti legittimi e utilizzando piattaforme affidabili, UNC4990 elude i sospetti e sfrutta le reti affidabili, rendendo difficile per i sistemi di sicurezza segnalarli come sospetti.
La catena di attacco UNC4990 prosegue con l'implementazione di QUIETBOARD, una backdoor sofisticata con diverse funzionalità. Questa backdoor multicomponente, una volta attivato, esegue i comandi dal comando e controllo (C2) server, altera il contenuto degli appunti per il furto di criptovaluta, infetta le unità USB per diffondere malware, cattura screenshot per il furto di informazioni, e raccoglie informazioni dettagliate sul sistema e sulla rete. QUIETBOARD dimostra persistenza durante i riavvii del sistema e supporta l'aggiunta di nuove funzionalità attraverso moduli aggiuntivi.
Nonostante le misure di prevenzione convenzionali, Malware basato su USB continua a rappresentare una minaccia significativa, fungere da mezzo di propagazione efficace per i criminali informatici. La tattica unica di UNC4990, sfruttando piattaforme apparentemente innocue per carichi utili intermedi, sfida i paradigmi di sicurezza convenzionali e sottolinea la necessità di una vigilanza continua nel panorama in continua evoluzione della sicurezza informatica.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: