В недавнем разоблачении фирма по кибербезопасности Mandiant раскрыла деятельность финансово мотивированного злоумышленника, известного как UNC4990. Эта изощренная группа использует уникальную комбинацию атак на основе USB и использования законных онлайн-платформ, включая GitHub, Vimeo и Ars Technica. Скрывая закодированные полезные данные внутри, казалось бы, безобидного контента на этих платформах, UNC4990 удается избежать обнаружения и извлечь выгоду из доверия, связанного с авторитетными сетями доставки контента.
Тактика атаки UNC4990 на основе USB
Действия UNC4990 включают в себя инициирование кампаний посредством USB-устройства содержащий вредоносные файлы ярлыков LNK. Как только эти файлы случайно выполняются жертвами, запускается сценарий PowerShell с именем explorer.ps1. Этот сценарий, в свою очередь, загружает промежуточную полезную нагрузку, декодированную для обнаружения URL-адреса, ведущего к загрузчику вредоносного ПО под названием «EMPTYSPACE».
Злоумышленник развертывает различные методы размещения этих промежуточных полезных данных, включая закодированные текстовые файлы на GitHub и GitLab. Однако группа изменила стратегию использования Vimeo и Ars Technica для размещения строковых полезных данных в кодировке Base64 и AES. Важно отметить, что UNC4990 не использует уязвимости этих платформ, а умело использует обычные функции, такие как профили на форуме Ars Technica и описания видео Vimeo.
Эти полезные данные, представляющие собой, казалось бы, безобидные текстовые строки на хостинговых платформах, играют решающую роль в цепочке атак, облегчая загрузку и выполнение вредоносного ПО. Встраивая вредоносные полезные данные в законный контент и используя авторитетные платформы, UNC4990 удается действовать незаметно, что усложняет системам безопасности пометку их как подозрительных.
Многокомпонентный бэкдор UNC4990: QUIETBOARD
По мере развития цепочки атак UNC4990 группа угроз развертывает QUIETBOARD — сложный бэкдор с разнообразными возможностями. После активации этот многокомпонентный бэкдор выполняет команды с сервера управления и контроля (C2). Некоторые из его функций включают в себя изменение содержимого буфера обмена для кражи криптовалюты, заражение USB-накопителей для распространения вредоносного ПО, создание снимков экрана для кражи информации и сбор подробной системной и сетевой информации. QUIETBOARD демонстрирует устойчивость при перезагрузке системы и поддерживает добавление новых функций с помощью дополнительных модулей.
Несмотря на традиционные меры профилактики, вредоносное ПО на USB-накопителе остается серьезной угрозой, служащей эффективной средой распространения для киберпреступников. Инновационный подход UNC4990 к использованию, казалось бы, безобидных платформ для промежуточной полезной нагрузки бросает вызов традиционным парадигмам безопасности и подчеркивает необходимость постоянной бдительности в динамичном ландшафте кибербезопасности.
Защита от UNC4990 и подобных угроз
- Улучшите безопасность конечных точек: Усильте меры безопасности конечных точек для обнаружения и предотвращения выполнения вредоносных файлов ярлыков LNK и сценариев PowerShell.
- Бдительность USB-устройства: Соблюдайте осторожность при использовании USB-устройств и избегайте запуска незнакомых или подозрительных файлов.
- Регулярные проверки безопасности: Проводите регулярные проверки безопасности для выявления и устранения уязвимостей в системах и сетях.
- Обучение пользователей: Расскажите пользователям о рисках, связанных с атаками через USB, и о том, как важно избегать неизвестного или непроверенного контента.
- Сетевой мониторинг: Внедрите надежный мониторинг сети для обнаружения необычных действий и сообщений, которые могут указывать на взлом.
- Обновите политику безопасности: Регулярно обновляйте политики безопасности для устранения развивающихся угроз и усиления превентивных мер.
Тактика UNC4990 подчеркивает необходимость активного и многоуровневого подхода к кибербезопасности. Как организации, так и частные лица должны быть в курсе, сохранять бдительность и постоянно адаптировать свои методы обеспечения безопасности, чтобы препятствовать возникновению новых угроз. угрозы. Перед лицом инновационных стратегий UNC4990 коллективные усилия по повышению устойчивости кибербезопасности имеют первостепенное значение.
