黑客通过新闻、媒体托管网站推送 USB 恶意软件有效载荷

情报员-10251

2024-02-01 10:12:52 热度8.7k+

已发现一个出于经济动机的威胁行为者使用USB设备进行初始感染,滥用合法的在线平台,包括GitHub、Vimeo和ArsTechnica,以托管嵌入在看似良性内容中的编码有效载荷。

攻击者将这些有效载荷隐藏在众目睽睽之下,将它们放置在科技新闻网站的论坛用户资料或媒体托管平台上的视频描述中。

这些有效负载不会对访问这些网页的用户构成风险,因为它们只是文本字符串。但是,当集成到活动的攻击链中时,它们在下载和执行攻击中的恶意软件方面至关重要。

非自愿有效负载托管

攻击始于受害者双击USB驱动器上的恶意LNK快捷方式文件。目前尚不清楚恶意USB设备如何让目标受害者启动攻击链。

启动快捷方式时,它会执行PowerShell脚本explorer.ps1,该脚本会下载一个中间有效负载,该有效负载解码为用于下载和安装名为“EMPTYSPACE”的恶意软件下载程序的URL。

这些中间有效负载是文本字符串,它们解码为URL以下载下一个有效负载:EMPTYSPACE。

UNC4990尝试了几种托管中间有效载荷的方法,最初在GitHub和GitLab上使用编码文本文件,后来转而滥用Vimeo和ArsTechnica来托管base64编码和AES加密的字符串有效载荷。

Mandiant指出,攻击者不会利用这些站点中的漏洞,而只是利用常规站点功能,例如ArsTechnica论坛个人资料中的“关于”页面或Vimeo视频描述“,在不引起怀疑的情况下秘密托管混淆的有效载荷。

此外,这些有效载荷不会直接威胁到被滥用网站的访问者,因为它们只是无害的文本字符串,Mandiant记录的所有案例现在都已从受影响的中间平台中删除。

在合法且信誉良好的平台上托管有效载荷的优势在于,它们受到安全系统的信任,从而降低了它们被标记为可疑的可能性。

此外,威胁行为者受益于这些平台强大的内容交付网络,并享有对删除的弹性。

将有效负载嵌入合法内容中并将其与大量合法流量混合,使得查明和删除恶意代码变得更加困难。

即便如此,攻击者也可以轻松地在支持公开可见评论或个人资料的不同平台上重新引入它。

装载静音板

PowerShell脚本解码、解密和执行从合法站点获取的中间有效负载,并在受感染的系统上删除EMPTYSPACE,从而与活动的命令和控制(C2)服务器建立通信。

在攻击的后续阶段,EMPTYSPACE下载了一个名为“QUIETBOARD”的后门,以及挖掘门罗币、以太坊、狗狗币和比特币的加密货币矿工。

与此活动相关的钱包地址已获得超过55,000美元的利润,这还不包括隐藏的门罗币。

QUIETBOARD是UNC4990使用的复杂多组件后门,提供广泛的功能,包括:

  • 执行从C2服务器接收的命令或脚本
  • 执行从C2接收的Python代码
  • 更改剪贴板内容以防加密货币盗窃
  • 感染USB/可移动驱动器以在其他系统上传播恶意软件
  • 捕获屏幕截图以进行信息盗窃
  • 收集详细的系统和网络信息
  • 确定受感染系统的地理位置

QUIETBOARD还可以在系统重启后建立持久性,并支持通过额外的模块动态添加新功能。

Mandiant最后强调了UNC4990喜欢对其活动进行实验,以发现其攻击链的最佳途径并改进其方法。

尽管采取了看似简单的预防措施,但基于USB的恶意软件继续构成重大威胁,并作为有效的传播媒介为网络犯罪分子提供服务。

至于滥用合法站点来植入中间有效载荷的策略,这表明威胁可能潜伏在意想不到的、看似无害的位置,挑战传统的安全范式。

免责声明:以上内容为发帖人个人观点。平台无法验证上述内容的真实、准确和原创性,对此不作任何保证与承诺。
Bianca杰克,2134968风 等2个用户觉得很赞
全部评论(0)
情报员-10251

这个用户很神秘哦,什么都没留下

扫码关注情报星球

手机看情报,把安全装进口袋