W wyniku niedawnego ujawnienia firma Mandiant zajmująca się bezpieczeństwem cybernetycznym ujawniła działania motywowanego finansowo ugrupowania zagrażającego, znanego jako UNC4990. Ta wyrafinowana grupa wykorzystuje unikalną kombinację ataków opartych na USB i wykorzystywania legalnych platform internetowych, w tym GitHub, Vimeo i Ars Technica. Ukrywając zakodowane ładunki w pozornie nieszkodliwych treściach na tych platformach, UNC4990 udaje się uniknąć wykrycia i wykorzystuje zaufanie związane z renomowanymi sieciami dostarczania treści.
Taktyka ataku UNC4990 w oparciu o USB
Działania UNC4990 polegają na inicjowaniu kampanii poprzez Urządzenia USB zawierające złośliwe pliki skrótów LNK. Gdy te pliki zostaną przypadkowo wykonane przez ofiary, uruchamiany jest skrypt PowerShell o nazwie explorer.ps1. Skrypt ten z kolei pobiera ładunek pośredni, który jest dekodowany w celu ujawnienia adresu URL pobierającego narzędzie do pobierania złośliwego oprogramowania o nazwie „EMPTYSPACE”.
Osoba zagrażająca wdraża różne metody hostingu dla tych ładunków pośrednich, w tym zakodowane pliki tekstowe w serwisach GitHub i GitLab. Jednak grupa zmieniła strategię i wykorzystuje Vimeo i Ars Technica do hostowania ładunków w postaci ciągów znaków zakodowanych w Base64 i AES. Co ważne, UNC4990 nie wykorzystuje luk w zabezpieczeniach tych platform, ale sprytnie wykorzystuje zwykłe funkcje, takie jak profile na forach Ars Technica i opisy filmów Vimeo.
Ładunki te, pozornie nieszkodliwe ciągi tekstowe na platformach hostingowych, odgrywają kluczową rolę w łańcuchu ataków, ułatwiając pobieranie i uruchamianie złośliwego oprogramowania. Osadzając złośliwe ładunki w legalnych treściach i wykorzystując renomowane platformy, UNC4990 udaje się działać niezauważenie, co utrudnia systemom bezpieczeństwa oznaczenie ich jako podejrzanych.
Wieloskładnikowy backdoor UNC4990: QUIETBOARD
W miarę postępu łańcucha ataków UNC4990 grupa zagrożeń wdraża QUIETBOARD, wyrafinowanego backdoora o różnorodnych możliwościach. Po aktywacji ten wieloskładnikowy backdoor wykonuje polecenia z serwera dowodzenia i kontroli (C2). Niektóre z jego funkcjonalności obejmują zmianę zawartości schowka w celu kradzieży kryptowalut, infekowanie dysków USB w celu rozprzestrzeniania złośliwego oprogramowania, przechwytywanie zrzutów ekranu w celu kradzieży informacji oraz zbieranie szczegółowych informacji o systemie i sieci. QUIETBOARD wykazuje trwałość przy ponownym uruchomieniu systemu i obsługuje dodawanie nowych funkcjonalności poprzez dodatkowe moduły.
Pomimo tradycyjnych środków zapobiegawczych złośliwe oprogramowanie wykorzystujące USB pozostaje poważnym zagrożeniem, stanowiąc skuteczny środek rozprzestrzeniania się cyberprzestępców. Innowacyjne podejście UNC4990 polegające na wykorzystaniu pozornie nieszkodliwych platform do przenoszenia pośrednich ładunków podważa konwencjonalne paradygmaty bezpieczeństwa i podkreśla potrzebę ciągłej czujności w dynamicznym krajobrazie cyberbezpieczeństwa.
Ochrona przed UNC4990 i podobnymi zagrożeniami
- Zwiększ bezpieczeństwo punktów końcowych: Wzmocnij środki bezpieczeństwa punktów końcowych, aby wykrywać i zapobiegać wykonywaniu złośliwych plików skrótów LNK i skryptów PowerShell.
- Kontrola urządzeń USB: Zachowaj ostrożność podczas korzystania z urządzeń USB i unikaj wykonywania nieznanych lub podejrzanych plików.
- Regularne audyty bezpieczeństwa: Przeprowadzaj rutynowe audyty bezpieczeństwa w celu identyfikacji i łagodzenia luk w zabezpieczeniach systemów i sieci.
- Edukacja użytkowników: Edukuj użytkowników o zagrożeniach związanych z atakami opartymi na USB i znaczeniu unikania nieznanych lub niezweryfikowanych treści.
- Monitorowanie sieci: Wdróż solidne monitorowanie sieci, aby wykryć nietypowe działania i komunikację, które mogą wskazywać na kompromis.
- Zaktualizuj zasady bezpieczeństwa: Regularnie aktualizuj zasady bezpieczeństwa, aby reagować na zmieniające się zagrożenia i wzmacniać środki zapobiegawcze.
Taktyka UNC4990 podkreśla potrzebę proaktywnego i wielowarstwowego podejścia do cyberbezpieczeństwa. Organizacje i osoby prywatne muszą być na bieżąco informowane, zachować czujność i stale dostosowywać swoje praktyki bezpieczeństwa, aby udaremnić nowe zagrożenia zagrożenia. W obliczu innowacyjnych strategii UNC4990 ogromne znaczenie ma zbiorowy wysiłek na rzecz wzmocnienia odporności cyberbezpieczeństwa.
