Beste praktijken op het gebied van IT/cyberbeveiligingMalware

UNC4990 Bedreigingsgroep: misbruik van USB-apparaten en legitieme platforms

ITFunk-onderzoek
ITFunk-onderzoek
UNC4990 Bedreigingsgroep: misbruik van USB-apparaten en legitieme platforms

In een recente onthulling heeft cyberbeveiligingsbedrijf Mandiant de activiteiten blootgelegd van een financieel gemotiveerde dreigingsspeler die bekend staat als UNC4990. Deze geavanceerde groep maakt gebruik van een unieke combinatie van USB-gebaseerde aanvallen en exploitatie van legitieme online platforms, waaronder GitHub, Vimeo en Ars Technica. Door gecodeerde ladingen te verbergen in ogenschijnlijk onschadelijke inhoud op deze platforms, slaagt UNC4990 erin detectie te voorkomen en te kapitaliseren op het vertrouwen dat geassocieerd wordt met gerenommeerde netwerken voor inhoudslevering.

Inhoud

USB-gebaseerde aanvalstactieken van UNC4990

De acties van UNC4990 omvatten het initiëren van campagnes via USB-apparaten met kwaadaardige LNK-snelkoppelingsbestanden. Zodra deze bestanden onbedoeld door slachtoffers worden uitgevoerd, wordt een PowerShell-script met de naam explorer.ps1 geactiveerd. Dit script downloadt op zijn beurt een tussenliggende payload, gedecodeerd om een ​​URL te onthullen die de malware-downloader ophaalt met de naam 'EMPTYSPACE'.

De bedreigingsacteur maakt gebruik van verschillende hostingmethoden voor deze intermediaire payloads, waaronder gecodeerde tekstbestanden op GitHub en GitLab. De groep heeft echter de strategie gewijzigd om Vimeo en Ars Technica te exploiteren voor het hosten van Base64-gecodeerde en AES-gecodeerde stringpayloads. Belangrijk is dat UNC4990 geen misbruik maakt van kwetsbaarheden in deze platforms, maar op slimme wijze gebruik maakt van reguliere functies, zoals Ars Technica-forumprofielen en Vimeo-videobeschrijvingen.

Deze payloads, ogenschijnlijk onschadelijke tekstreeksen binnen de hostingplatforms, spelen een cruciale rol in de aanvalsketen en vergemakkelijken het downloaden en uitvoeren van malware. Door kwaadaardige ladingen in legitieme inhoud in te bedden en gebruik te maken van gerenommeerde platforms, slaagt UNC4990 erin om onder de radar te opereren, waardoor het voor beveiligingssystemen een uitdaging wordt om deze als verdacht te markeren.

De meercomponenten achterdeur van UNC4990: QUIETBOARD

Naarmate de UNC4990-aanvalsketen vordert, zet de dreigingsgroep QUIETBOARD in, een geavanceerde achterdeur met diverse mogelijkheden. Eenmaal geactiveerd, voert deze uit meerdere componenten bestaande achterdeur opdrachten uit vanaf de command and control (C2)-server. Enkele van de functionaliteiten omvatten het wijzigen van de inhoud van het klembord voor diefstal van cryptocurrency, het infecteren van USB-drives om malware te verspreiden, het maken van schermafbeeldingen voor informatiediefstal en het verzamelen van gedetailleerde systeem- en netwerkinformatie. QUIETBOARD vertoont volharding bij het opnieuw opstarten van het systeem en ondersteunt de toevoeging van nieuwe functionaliteiten via extra modules.

Ondanks traditionele preventiemaatregelen blijft USB-gebaseerde malware een aanzienlijke bedreiging, die als effectief verspreidingsmedium voor cybercriminelen fungeert. UNC4990's innovatieve benadering van het gebruik van ogenschijnlijk onschadelijke platforms voor middelmatige payloads daagt conventionele beveiligingsparadigma's uit en benadrukt de noodzaak van voortdurende waakzaamheid in het dynamische landschap van cyberbeveiliging.

Bescherming tegen UNC4990 en soortgelijke bedreigingen

  1. Verbeter de eindpuntbeveiliging: Versterk de beveiligingsmaatregelen voor eindpunten om de uitvoering van kwaadaardige LNK-snelkoppelingsbestanden en PowerShell-scripts te detecteren en te voorkomen.
  2. Waakzaamheid voor USB-apparaten: Wees voorzichtig bij het gebruik van USB-apparaten en vermijd het uitvoeren van onbekende of verdachte bestanden.
  3. Regelmatige beveiligingsaudits: Voer routinematige beveiligingsaudits uit om kwetsbaarheden in systemen en netwerken te identificeren en te beperken.
  4. Gebruikersopleiding: Informeer gebruikers over de risico's die gepaard gaan met USB-gebaseerde aanvallen en het belang van het vermijden van onbekende of niet-geverifieerde inhoud.
  5. Netwerkbewaking: Implementeer robuuste netwerkmonitoring om ongebruikelijke activiteiten en communicatie te detecteren die op een compromis kunnen duiden.
  6. Beveiligingsbeleid bijwerken: Werk het beveiligingsbeleid regelmatig bij om de zich ontwikkelende bedreigingen aan te pakken en de preventieve maatregelen te versterken.

De tactieken van UNC4990 onderstrepen de noodzaak van een proactieve en meerlaagse cyberbeveiligingsaanpak. Zowel organisaties als individuen moeten op de hoogte blijven, waakzaam blijven en hun beveiligingspraktijken voortdurend aanpassen om nieuwe ontwikkelingen te dwarsbomen bedreigingen. In het licht van de innovatieve strategieën van UNC4990 is een collectieve inspanning om de veerkracht op het gebied van cyberbeveiliging te versterken van cruciaal belang.

ICE Spyware Malware
Graphite-malware
FNAF-ransomware
DragonForce-ransomware
Canvas Ransomware
GETAGGED:
Deel dit artikel
Vorig artikel Re-captha-versie-3-21.icu Browserkaper: een uitgebreide gids
Volgende artikel CVE-2022-48618: Apple-fout in macOS en iOS actief misbruikt
Laat een bericht achter

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Scan uw systeem op malware

Laat uw systeem niet onbeschermd achter. Download Spionnen Jager Probeer het vandaag nog gratis uit en scan uw apparaat op malware, oplichting of andere potentiële bedreigingen. Blijf beschermd!

SpyHunter 5 downloaden
✅ Gratis scan beschikbaar • ⭐ Vangt malware direct op

VOORWAARDEN EN DIENSTEN