Gli attacchi cyber che utilizzano unità USB infette come vettore di accesso iniziale hanno registrato un aumento triplo nella prima metà del 2023. Secondo nuove scoperte di Mandiant, due campagne – SOGU e SNOWYDRIVE – stanno mirando a entità del settore pubblico e privato in tutto il mondo.
Campagna SOGU: attacco di cyber spionaggio basato su USB
SOGU è l’attacco di cyber spionaggio basato su USB più diffuso che utilizza unità flash USB ed è una delle campagne di cyber spionaggio più aggressive che mirano a organizzazioni del settore pubblico e privato a livello globale in vari settori. L’attività è stata attribuita a un cluster con base in Cina chiamato TEMP.Hex, che è anche monitorato con i nomi Camaro Dragon, Earth Preta e Mustang Panda. I bersagli includono costruzione e ingegneria, servizi aziendali, governo, salute, trasporti e vendita al dettaglio in Europa, Asia e Stati Uniti.
La catena di infezione dettagliata da Mandiant mostra comuni tattiche con un’altra campagna dettagliata da Check Point, che ha rivelato una variante di malware auto-propagante chiamata WispRider che si diffonde attraverso unità USB compromesse e potenzialmente viola sistemi air-gapped.
Tutto inizia con un’unità flash USB infetta inserita in un computer, che porta all’esecuzione di PlugX (aka Korplug), che poi decifra e avvia un backdoor basato su C chiamato SOGU che esfiltra file di interesse, battiture di tasti e screenshot.
SNOWYDRIVE mira alle organizzazioni petrolifere e del gas in Asia
Il secondo cluster che sfrutta il meccanismo di infiltrazione USB è UNC4698, che ha preso di mira le organizzazioni petrolifere e del gas in Asia per consegnare il malware SNOWYDRIVE per eseguire payload arbitrari sui sistemi hackerati.
“Una volta che SNOWYDRIVE è caricato, crea un backdoor nel sistema host, dando agli aggressori la capacità di emettere comandi di sistema in remoto”, hanno detto i ricercatori di Mandiant Rommel Joven e Ng Choon Kiat. “Si diffonde anche ad altre unità flash USB e si propaga in tutta la rete.”
In questi attacchi, la vittima viene indotta a fare clic su un file trappola che si maschera come un eseguibile legittimo, attivando così una catena di azioni malevole, a partire da un dropper che stabilisce un punto d’appoggio, seguito dall’esecuzione dell’impianto SNOWYDRIVE.
Alcune delle funzionalità del backdoor consistono nel condurre ricerche di file e directory, caricare e scaricare file e lanciare una shell inversa.
“Le organizzazioni dovrebbero dare priorità all’implementazione di restrizioni sull’accesso a dispositivi esterni come le unità USB”, hanno detto i ricercatori. “Se ciò non è possibile, dovrebbero almeno scansionare questi dispositivi alla ricerca di file o codici malevoli prima di collegarli alle loro reti interne.”