UNC4990 脅威グループが USB デバイスと正規のプラットフォームを悪用

サイバーセキュリティ企業 Mandiant は最近、金銭目的の攻撃者を発見しました。, UNC4990, USBを利用する 初期感染用のデバイス. このグループは GitHub などの正規のオンライン プラットフォームを悪用しています, Vimeo, そしてアルステクニカ. 脅威アクターは、これらのプラットフォーム上の一見無害なコンテンツ内にエンコードされたペイロードを巧妙に隠します。, 疑惑を回避し、信頼できるコンテンツ配信ネットワークを活用する.

UNC4990 USB ベースの攻撃の調査

攻撃者は、悪意のある LNK ショートカット ファイルを含む USB デバイスを介してキャンペーンを開始します。, によると レポート. 被害者が誤ってショートカットを実行した場合, Explorer.ps1 という名前の PowerShell スクリプトがアクティブ化されます. このスクリプトは中間ペイロードをダウンロードします, これは、「EMPTYSPACE」という名前のマルウェア ダウンローダーを取得するための URL にデコードされます。’

UNC4990 は、中間ペイロードにさまざまなホスティング方式を採用しています, GitHub および GitLab 上のエンコードされたテキスト ファイルを含む. でも, 彼らは、Base64 でエンコードされ、AES で暗号化された文字列ペイロードをホストするために Vimeo と Ars Technica を悪用する戦略に移行しました。. 特に, 攻撃者はこれらのプラットフォームの脆弱性を悪用するのではなく、Ars Technica フォーラムのプロフィールや Vimeo ビデオの説明などの通常の機能を利用します。.

これらのペイロード, ホスティング プラットフォーム上の無害なテキスト文字列, 攻撃チェーンにおいて重要な役割を果たす, マルウェアのダウンロードと実行を容易にする. 正規のコンテンツ内にペイロードを埋め込み、信頼できるプラットフォームを使用することによって, UNC4990 は疑惑を回避し、信頼できるネットワークを利用します, セキュリティ システムが疑わしいものとしてフラグを立てることが困難になる.

UNC4990 攻撃チェーンは QUIETBOARD の導入により進行, 多様な機能を備えた洗練されたバックドア. このマルチコンポーネントのバックドア, 一度アクティブ化される, コマンドアンドコントロールからコマンドを実行します (C2) サーバ, クリップボードの内容を変更して暗号通貨を盗む, USB ドライブに感染してマルウェアを拡散します, 情報盗難のためにスクリーンショットをキャプチャします, 詳細なシステムおよびネットワーク情報を収集します. QUIETBOARD は、システムの再起動後の持続性を実証し、追加モジュールによる新しい機能の追加をサポートします。.

従来の予防策にもかかわらず, USB ベースのマルウェア 重大な脅威をもたらし続けている, サイバー犯罪の効果的な伝播媒体として機能する. UNC4990の独特な戦術, 中間ペイロードに一見無害なプラットフォームを利用する, 従来のセキュリティ パラダイムに挑戦し、進化し続けるサイバーセキュリティの状況における継続的な警戒の必要性を強調しています。.