Meilleures pratiques informatiques/cybersécuritéMalware

Groupe de menaces UNC4990 : exploitation de périphériques USB et de plates-formes légitimes

Recherche ITFunk
Recherche ITFunk
Groupe de menaces UNC4990 : exploitation de périphériques USB et de plates-formes légitimes

Dans une révélation récente, la société de cybersécurité Mandiant a révélé les activités d'un acteur menaçant motivé par des raisons financières, connu sous le nom d'UNC4990. Ce groupe sophistiqué utilise une combinaison unique d'attaques basées sur l'USB et d'exploitation de plateformes en ligne légitimes, notamment GitHub, Vimeo et Ars Technica. En dissimulant les charges utiles codées dans un contenu apparemment inoffensif sur ces plates-formes, UNC4990 parvient à éviter la détection et capitalise sur la confiance associée aux réseaux de diffusion de contenu réputés.

Table des matières

Tactiques d'attaque basées sur USB de l'UNC4990

Les actions de l'UNC4990 consistent à lancer des campagnes à travers Périphériques USB contenant des fichiers de raccourci LNK malveillants. Une fois ces fichiers exécutés par inadvertance par les victimes, un script PowerShell nommé explorer.ps1 est déclenché. Ce script, à son tour, télécharge une charge utile intermédiaire, décodée pour révéler une URL récupérant le téléchargeur de malware appelé « EMPTYSPACE ».

L'acteur malveillant déploie diverses méthodes d'hébergement pour ces charges utiles intermédiaires, notamment des fichiers texte codés sur GitHub et GitLab. Cependant, le groupe a modifié ses stratégies pour exploiter Vimeo et Ars Technica pour héberger des charges utiles de chaînes codées en Base64 et cryptées en AES. Il est important de noter que UNC4990 n'exploite pas les vulnérabilités de ces plates-formes mais utilise intelligemment les fonctionnalités classiques, telles que les profils de forum Ars Technica et les descriptions vidéo Vimeo.

Ces charges utiles, des chaînes de texte apparemment inoffensives au sein des plateformes d'hébergement, jouent un rôle crucial dans la chaîne d'attaque, facilitant le téléchargement et l'exécution de logiciels malveillants. En intégrant des charges utiles malveillantes dans du contenu légitime et en exploitant des plates-formes réputées, UNC4990 parvient à fonctionner sous le radar, ce qui rend difficile pour les systèmes de sécurité de les signaler comme suspects.

Porte dérobée multi-composants de l'UNC4990 : QUIETBOARD

À mesure que la chaîne d’attaque UNC4990 progresse, le groupe malveillant déploie QUIETBOARD, une porte dérobée sophistiquée dotée de diverses capacités. Une fois activée, cette porte dérobée multi-composants exécute les commandes du serveur de commande et de contrôle (C2). Certaines de ses fonctionnalités incluent la modification du contenu du presse-papiers pour le vol de cryptomonnaie, l'infection de clés USB pour propager des logiciels malveillants, la capture de captures d'écran pour le vol d'informations et la collecte d'informations détaillées sur le système et le réseau. QUIETBOARD fait preuve de persistance lors des redémarrages du système et prend en charge l'ajout de nouvelles fonctionnalités via des modules supplémentaires.

Malgré les mesures de prévention traditionnelles, les logiciels malveillants basés sur USB restent une menace importante, servant de moyen de propagation efficace pour les cybercriminels. L'approche innovante de l'UNC4990 consistant à utiliser des plates-formes apparemment inoffensives pour des charges utiles intermédiaires remet en question les paradigmes de sécurité conventionnels et souligne la nécessité d'une vigilance continue dans le paysage dynamique de la cybersécurité.

Protection contre UNC4990 et les menaces similaires

  1. Améliorez la sécurité des points de terminaison : Renforcez les mesures de sécurité des points finaux pour détecter et empêcher l’exécution de fichiers de raccourci LNK et de scripts PowerShell malveillants.
  2. Vigilance des périphériques USB : Soyez prudent lorsque vous utilisez des périphériques USB et évitez d'exécuter des fichiers inconnus ou suspects.
  3. Audits de sécurité réguliers : Effectuer des audits de sécurité de routine pour identifier et atténuer les vulnérabilités des systèmes et des réseaux.
  4. Éducation des utilisateurs : Éduquez les utilisateurs sur les risques associés aux attaques basées sur l’USB et sur l’importance d’éviter les contenus inconnus ou non vérifiés.
  5. Surveillance du réseau : Mettez en œuvre une surveillance robuste du réseau pour détecter les activités et les communications inhabituelles pouvant indiquer une compromission.
  6. Mettre à jour les politiques de sécurité : Mettez régulièrement à jour les politiques de sécurité pour faire face à l’évolution des menaces et renforcer les mesures préventives.

Les tactiques de l'UNC4990 soulignent la nécessité d'une approche de cybersécurité proactive et multicouche. Les organisations et les individus doivent rester informés, rester vigilants et adapter continuellement leurs pratiques de sécurité pour contrecarrer les menaces émergentes. des menaces. Face aux stratégies innovantes de l'UNC4990, un effort collectif pour renforcer la résilience en matière de cybersécurité est primordial.

Cheval de Troie A0Backdoor
Ransomware LQTOREQ
Voleur d'évolution
Logiciel malveillant Backdoor.Agent
Détourneur de Directsearchapp.com
MARQUÉ:
Partager cet article
article précédent Re-captha-version-3-21.icu Pirate de navigateur : un guide complet
article suivant CVE-2022-48618 : faille Apple dans macOS, iOS activement exploitée
Laisser un commentaire

Laissez un commentaire

Votre adresse courriel n'apparaitra pas. Les champs obligatoires sont marqués *

Analysez votre système à la recherche de logiciels malveillants

Ne laissez pas votre système sans protection. Télécharger SpyHunter Téléchargez-le gratuitement dès aujourd'hui et analysez votre appareil à la recherche de logiciels malveillants, d'arnaques ou de toute autre menace potentielle. Restez protégé !

Télécharger SpyHunter 5
✅ Analyse gratuite disponible • ⭐ Détecte instantanément les logiciels malveillants

CONDITIONS ET SERVICES