Un gruppo di hacking sconosciuto è alla base di una nuova pericolosa minaccia che si chiama malware USBCulprit. È progettato per infiltrarsi silenziosamente nei sistemi protetti che lo sono air-gap — ciò significa che non saranno collegati alla rete esterna. Diversi paesi al momento sono presi di mira, principalmente situato in Asia.
Computer con aria compressa spiati dall'avanzato malware USBCulprit
Un gruppo o individuo di hacking sconosciuto ha creato una nuova pericolosa minaccia identificata da molti esperti di sicurezza come Malware USBCulprit. In confronto con altri virus generici, questo è progettato per entrare nel cosiddetto dispositivi per computer con intercapedine d'aria. Di solito si tratta di un'infrastruttura critica, server e altre apparecchiature di elaborazione di alto profilo che sono deliberatamente isolate da altre apparecchiature di rete.
Esistono diversi nomi che vengono utilizzati per fare riferimento all'hacker e / o al malware stesso: Panda Goblin, Cycldek e Conimes, grazie ai campioni analizzati possiamo verificare che è stato integrato un ampio set di funzionalità. Esistono diverse categorie utilizzate per descrivere le singole azioni che possono essere intraprese dal malware:
- Interazione dei file — Ciò include tutte le azioni correlate alla manipolazione dei dati di qualsiasi tipo: creazione di file e modifica e rimozione di quelli esistenti. Questo si estende anche alle directory.
- Il furto di dati — Gli hacker possono utilizzare il malware USBCulprit per rubare file dai dischi rigidi connessi localmente, dispositivi di archiviazione rimovibili e condivisioni di rete quando disponibili.
- Attività correlate alla sicurezza — Questa categoria include i principali metodi utilizzati per aiutare il virus a infiltrarsi nei sistemi di destinazione.
Al momento non è ancora nota l'esatta strategia di infezione utilizzata dagli hacker dietro la minaccia. I ricercatori ritengono che il il motore principale si basa su supporti rimovibili USB. Ciò significa che un'unità flash USB o un'unità esterna infette devono essere introdotte in una rete in grado di raggiungere il computer con spazio vuoto di destinazione.
Ulteriori informazioni sul malware USBCulprit
Le infezioni che portano alla diffusione del malware USBCulprit sono causate da dispositivi rimovibili infetti o da attività di virus precedente. Gli hacker stanno usando una minaccia chiamata NewCore come principale meccanismo di consegna del payload. Si è diviso in due versioni - BlueCore e Redcore. Loro includono funzionalità keylogger progettato per registrare le sequenze di tasti e gli input di movimento del mouse da parte degli utenti. Un'altra importante funzionalità è l'integrazione di a Funzione rubare RDP — rileverà se l'amministratore del computer ha installato un software di accesso desktop remoto e ruberà le credenziali. Ciò consentirà agli hacker di assumere il controllo degli host tramite un'applicazione legittima. Dal punto di vista dell'amministratore di rete, questo verrà contrassegnato come un normale tentativo di accesso e non genererà alcun allarme che un intruso abbia ottenuto l'accesso alla rete.
Questi due strumenti includono anche la funzione di fornire il malware USBCulprit come parte della loro sequenza comportamentale. Uno dei comandi associati a questa minaccia è il raccolta di documenti che verrà quindi esportato nel dispositivo di archiviazione rimovibile collegato. Gli hacker si stanno concentrando su a strategia di movimento laterale nel senso che faranno affidamento sull'unità USB infetta per eseguire altre infezioni.
Un altro approccio adottato dagli hacker dietro la minaccia è il mascheramento dei componenti del file — gli hacker li faranno apparire mentre fanno parte di un programma antivirus. Ciò maschererà il caricatore e il virus effettivo.
I campioni analizzati indicano che il malware verrà caricato tramite un meccanismo chiamato Dirottamento dell'ordine di ricerca DLL — questo nasconderà la presenza del codice del virus e si avvierà silenziosamente in background. In questo momento il l'attività principale è dirottare i dati sensibili e poi posizionalo in un file di archivio RAR crittografato. Verrà quindi copiato sul dispositivo di archiviazione rimovibile da dove verrà acquisito dagli hacker. Si prevede che futuri aggiornamenti consentiranno il trasferimento dei dati tramite la connessione Trojan.