收到包含泰迪熊和USB的礼物包裹?来自FIN7 APT组织的“阴谋”

安全
以网络钓鱼邮件攻击企业闻名的FIN7 APT组织,正在针对企业网络发动新一轮的攻击。

以网络钓鱼邮件攻击企业闻名的FIN7 APT组织,正在针对企业网络发动新一轮的攻击。

该组织部署了新的战术,通过美国邮政服务(USPS)给目标企业的人力资源(HR),信息技术(IT)或执行管理(EM)等部门的员工邮寄包裹,包裹中一般包含USB设备、礼品卡等。当员工将USB设备插入计算机时,会注入命令以下载并执行以GRIFFON跟踪的JavaScript后门。

攻击案例

Trustwave的专家分析了其中一次攻击。该网络安全公司的一位客户收到了一个邮件,据信是百思买(Best Buy)给到其忠实客户的50美元礼品卡。其中还包括一个看似无害的USB驱动器,声称里面包含一个物品清单。

这样的包裹被发送给多家企业,包括零售业、餐饮、酒店。武器化的USB设备模仿用户击键特征,启动PowerShell命令从远程服务器检索恶意软件。专家们观察到恶意代码联络域名与IP地址位于俄罗斯。

事实上,攻击者很容易找到像Arduino这样的开发板,进行配置为模拟键盘等人机界面设备(HID),并启动一组预先配置的击键来加载和执行任何类型的恶意软件。分析中,研究人员检查了驱动器上是否有序列号等字样。在印刷电路板驱动器的顶部,看到了“HW-374”。通过谷歌搜索,很快地在shopee.tw上搜索到一个“BadubLeonardoUSBATMag32U4”出售。

该USB设备使用Arduino微控制器ATMEGA32U4,并编程模拟USB键盘。由于PC默认情况下信任键盘USB设备,一旦插入,键盘模拟器就会自动插入恶意命令。然后Powershell脚本运行第三阶段JavaScript,收集系统信息并删除其他恶意软件。根据FBI的警告,一旦收集到目标的信息,FIN7组织就开始横向移动以获取管理权限。在收集到的信息发送到C&C服务器之后。主Jscript代码会进入一个无限循环,在每个循环迭代中睡眠2分钟,然后从命令和控件获取一个新命令。

总之,一旦USB控制器芯片被重新编程用于其他用途(如模拟USB键盘),这些设备就可以被用来发动攻击,并在用户不知情的情况下感染他们的计算机。再加上这些设备非常便宜,任何人都可以随时使用,这也意味着攻击者野外利用这些技术和设备只是时间问题。

可能很快,攻击者将从简单的USB闪存转移到更高级的攻击方案,例如USB电缆(例如#USBsamurai#EvilCrow)。攻击者在其内部使用“恶意植入物”可以进行 BADUSB类型的攻击。再比如鼠标或USB风扇中嵌入“WHIDelite”……

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2024-05-13 16:18:36

2021-10-17 15:51:20

FIN7Windows 11黑客

2022-04-08 18:42:11

黑客网络犯罪网络攻击

2022-01-16 12:09:03

FIN7恶意U盘勒索软件

2021-10-22 12:44:37

黑客网络安全网络攻击

2021-04-17 15:11:33

网络犯罪FIN7黑客

2019-04-09 14:48:03

APT脚本攻击无文件

2023-05-22 14:21:56

2009-05-17 10:30:16

微软Windows 7操作系统

2021-05-17 10:46:04

FIN7后门工具白帽工具

2021-10-22 16:06:27

黑客网络安全网络攻击

2021-06-15 06:18:55

黑客组织Shield Iran网络安全

2018-02-08 09:08:03

大数据 云计算 盘点

2020-10-10 10:40:20

APT组织分析

2023-11-17 11:29:28

2021-01-27 11:35:34

高级持续威胁APT网络安全

2013-09-29 09:49:14

2023-05-18 22:46:41

2020-10-15 12:26:28

黑客勒索软件攻击

2021-04-28 17:54:21

EDR安全解决方案
点赞
收藏

51CTO技术栈公众号