Cybersecuritybedrijf Mandiant heeft onlangs een financieel gemotiveerde bedreigingsacteur ontdekt, UNC4990, USB gebruiken apparaten voor initiële infecties. De groep exploiteert legitieme onlineplatforms zoals GitHub, Vimeo, en Ars Technica. De dreigingsactor verbergt op slimme wijze gecodeerde ladingen in ogenschijnlijk onschuldige inhoud op deze platforms, het vermijden van argwaan en het benutten van vertrouwde netwerken voor het leveren van inhoud.
Een kijkje in UNC4990 USB-gebaseerde aanvallen
De aanvallers starten hun campagne via USB-apparaten die kwaadaardige LNK-snelkoppelingsbestanden bevatten, volgens het verslag. Wanneer slachtoffers per ongeluk de snelkoppeling uitvoeren, een PowerShell-script met de naam explorer.ps1 is geactiveerd. Dit script downloadt een tussenliggende payload, die wordt gedecodeerd in een URL voor het ophalen van de malware-downloader met de naam 'EMPTYSPACE.’
UNC4990 maakt gebruik van verschillende hostingmethoden voor intermediaire payloads, inclusief gecodeerde tekstbestanden op GitHub en GitLab. Echter, ze hebben hun strategieën verlegd om Vimeo en Ars Technica te misbruiken voor het hosten van Base64-gecodeerde en AES-gecodeerde stringpayloads. Opmerkelijk, de aanvallers maken geen misbruik van kwetsbaarheden op deze platforms, maar maken gebruik van reguliere functies zoals Ars Technica-forumprofielen en Vimeo-videobeschrijvingen.
Deze ladingen, onschadelijke tekstreeksen op de hostingplatforms, spelen een cruciale rol in de aanvalsketen, het downloaden en uitvoeren van malware vergemakkelijken. Door payloads in legitieme inhoud in te sluiten en gerenommeerde platforms te gebruiken, UNC4990 ontwijkt argwaan en maakt gebruik van vertrouwde netwerken, waardoor het voor beveiligingssystemen een uitdaging wordt om ze als verdacht te markeren.
De UNC4990-aanvalsketen vordert met de inzet van QUIETBOARD, een geavanceerde achterdeur met diverse mogelijkheden. Deze uit meerdere componenten bestaande achterdeur, eenmaal geactiveerd, voert opdrachten uit vanuit de command and control (C2) server, verandert de inhoud van het klembord voor diefstal van cryptocurrency, infecteert USB-drives om malware te verspreiden, maakt screenshots voor informatiediefstal, en verzamelt gedetailleerde systeem- en netwerkinformatie. QUIETBOARD demonstreert volharding bij het opnieuw opstarten van het systeem en ondersteunt de toevoeging van nieuwe functionaliteiten via extra modules.
Ondanks conventionele preventiemaatregelen, USB-gebaseerde malware blijft een aanzienlijke bedreiging vormen, dienen als een effectief verspreidingsmedium voor cybercriminelen. De unieke tactiek van UNC4990, gebruik te maken van schijnbaar onschadelijke platforms voor middelmatige ladingen, daagt conventionele veiligheidsparadigma's uit en onderstreept de noodzaak van voortdurende waakzaamheid in het steeds evoluerende landschap van cyberbeveiliging.