Een onbekende hackgroep zit achter een nieuwe gevaarlijke bedreiging die de USBCulprit-malware wordt genoemd. Het is ontworpen om op een stille manier beveiligde systemen te infiltreren Geairgapped — dit betekent dat ze niet worden verbonden met het externe netwerk. Momenteel worden verschillende landen aangevallen, voornamelijk gelegen in Azië.
Air-Gapped Computers bespioneerd door de geavanceerde USBCulprit Malware
Een onbekende hackgroep of persoon heeft een gevaarlijke nieuwe bedreiging gecreëerd die door veel beveiligingsexperts wordt geïdentificeerd als de USBCulprit-malware. In vergelijking met andere algemene virussen is deze ontworpen om in te breken in de zogenaamde air-gapped computerapparaten. Dit is meestal een kritieke infrastructuur, servers en andere spraakmakende computerapparatuur die opzettelijk zijn geïsoleerd van andere netwerkapparatuur.
Er zijn verschillende namen die worden gebruikt om te verwijzen naar de hacker en / of de malware zelf: Goblin Panda, Cycldek en Conimes, dankzij de geanalyseerde monsters kunnen we beoordelen dat een uitgebreide functieset is geïntegreerd. Er zijn verschillende categorieën die worden gebruikt om de individuele acties te beschrijven die door de malware kunnen worden ondernomen:
- Bestanden interactie — Dit omvat alle acties die verband houden met gegevensmanipulatie van welke aard dan ook: aanmaken van bestanden en het wijzigen en verwijderen van bestaande bestanden. Dit geldt ook voor mappen.
- Diefstal van gegevens — De hackers kunnen de USBCulprit-malware gebruiken om bestanden te stelen van de lokaal aangesloten harde schijven, verwijderbare opslagapparaten en netwerkshares indien beschikbaar.
- Beveiliging gerelateerde taken — Deze categorie bevat de belangrijkste methoden die worden gebruikt om het virus te helpen infiltreren in de doelsystemen.
Op dit moment is de exacte infectiestrategie van de hackers achter de dreiging nog niet bekend. De onderzoekers zijn van mening dat de hoofdmotor is afhankelijk van verwisselbare USB-media. Dit betekent dat een geïnfecteerde USB-flashdrive of externe schijf in een netwerk moet worden gebracht dat de doelcomputer met luchtopening kan bereiken.
Meer informatie over de USBCulprit-malware
De infecties die leiden tot de implementatie van de USBCulprit-malware worden veroorzaakt door geïnfecteerde verwijderbare apparaten of eerdere virusactiviteiten. De hackers gebruiken een bedreiging die wordt genoemd NewCore als het belangrijkste mechanisme voor het leveren van nuttige lading. Het is zelf onderverdeeld in twee versies - BlueCore en RedCore. Ze bevatten keylogger-functionaliteit die is ontworpen om de invoer van toetsaanslagen en muisbewegingen door de gebruikers vast te leggen. Een andere belangrijke functionaliteit is de integratie van een RDP-steelfunctie — het zal detecteren of er software voor inloggen op een extern bureaublad is geïnstalleerd door de computerbeheerders en de inloggegevens stelen. Hierdoor kunnen de hackers de controle over de hosts overnemen via een legitieme applicatie. Vanuit het perspectief van een netwerkbeheerder wordt dit gemarkeerd als een gewone inlogpoging en zal het geen alarm geven dat een indringer toegang heeft gekregen tot het netwerk.
Deze twee tools bevatten ook de functie om de USBCulprit-malware leveren als onderdeel van hun gedragssequentie. Een van de opdrachten die aan deze bedreiging zijn gekoppeld, is de verzameling van documenten die vervolgens wordt geëxporteerd naar het aangesloten verwijderbare opslagapparaat. De hackers richten zich op a laterale bewegingsstrategie Dit betekent dat ze afhankelijk zijn van het geïnfecteerde USB-station om andere infecties uit te voeren.
Een andere aanpak van de hackers achter de dreiging is de maskeren van bestandscomponenten — de hackers laten ze verschijnen omdat ze deel uitmaken van een antivirusprogramma. Dit maskeert de loader en het daadwerkelijke virus.
De geanalyseerde voorbeelden geven aan dat de malware wordt geladen via een mechanisme dat wordt genoemd Kaping van DLL-zoekvolgorde — hierdoor wordt de aanwezigheid van de viruscode verborgen en wordt stil op de achtergrond gestart. Op dit moment de belangrijkste taak is om gevoelige gegevens te kapen en plaats het dan in een versleuteld RAR-archiefbestand. Het wordt vervolgens gekopieerd naar het verwijderbare opslagapparaat van waaruit het door de hackers wordt verkregen. Naar verwachting zullen toekomstige gegevens de overdracht van gegevens via de Trojaanse verbinding mogelijk maken.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: