I en ny avslöjande har cybersäkerhetsföretaget Mandiant avslöjat aktiviteterna hos en ekonomiskt motiverad hotaktör känd som UNC4990. Denna sofistikerade grupp använder en unik kombination av USB-baserade attacker och utnyttjande av legitima onlineplattformar, inklusive GitHub, Vimeo och Ars Technica. Genom att dölja kodade nyttolaster i till synes ofarligt innehåll på dessa plattformar, lyckas UNC4990 undvika upptäckt och dra nytta av det förtroende som är förknippat med välrenommerade nätverk för innehållsleverans.
UNC4990:s USB-baserade attacktaktik
Åtgärderna av UNC4990 innebär att initiera kampanjer genom USB-enheter som innehåller skadliga LNK-genvägsfiler. När dessa filer exekveras av misstag av offer, utlöses ett PowerShell-skript med namnet explorer.ps1. Det här skriptet laddar i sin tur ned en mellanliggande nyttolast, avkodad för att avslöja en URL som hämtar skadlig programvara som heter 'EMPTYSPACE'.
Hotaktören distribuerar olika värdmetoder för dessa mellanliggande nyttolaster, inklusive kodade textfiler på GitHub och GitLab. Gruppen har dock ändrat strategier för att utnyttja Vimeo och Ars Technica för att vara värd för Base64-kodade och AES-krypterade strängnyttolaster. Viktigt är att UNC4990 inte utnyttjar sårbarheter i dessa plattformar utan använder skickligt vanliga funktioner, såsom Ars Technica-forumprofiler och Vimeo-videobeskrivningar.
Dessa nyttolaster, till synes ofarliga textsträngar inom värdplattformarna, spelar en avgörande roll i attackkedjan, vilket underlättar nedladdning och exekvering av skadlig programvara. Genom att bädda in skadliga nyttolaster i legitimt innehåll och utnyttja välrenommerade plattformar, lyckas UNC4990 fungera under radarn, vilket gör det utmanande för säkerhetssystem att flagga dem som misstänkta.
UNC4990:s flerkomponents bakdörr: QUIETBOARD
När attackkedjan UNC4990 fortskrider, använder hotgruppen QUIETBOARD, en sofistikerad bakdörr med olika möjligheter. När den har aktiverats, utför denna flerkomponents bakdörr kommandon från kommando- och kontrollservern (C2). Några av dess funktioner inkluderar att ändra urklippsinnehåll för stöld av kryptovalutor, infektera USB-enheter för att sprida skadlig programvara, ta skärmdumpar för informationsstöld och samla in detaljerad system- och nätverksinformation. QUIETBOARD uppvisar uthållighet vid omstart av systemet och stöder tillägg av nya funktioner genom extra moduler.
Trots traditionella förebyggande åtgärder förblir USB-baserad skadlig programvara ett betydande hot och fungerar som ett effektivt spridningsmedium för cyberbrottslingar. UNC4990:s innovativa tillvägagångssätt att använda till synes ofarliga plattformar för mellanliggande nyttolaster utmanar konventionella säkerhetsparadigm och understryker behovet av kontinuerlig vaksamhet i det dynamiska landskapet av cybersäkerhet.
Skyddar mot UNC4990 och liknande hot
- Förbättra slutpunktssäkerhet: Stärk slutpunktssäkerhetsåtgärder för att upptäcka och förhindra exekvering av skadliga LNK-genvägsfiler och PowerShell-skript.
- USB-enhets vaksamhet: Var försiktig när du använder USB-enheter och undvik att köra okända eller misstänkta filer.
- Regelbundna säkerhetsrevisioner: Genomför rutinmässiga säkerhetsrevisioner för att identifiera och mildra sårbarheter i system och nätverk.
- Användarutbildning: Utbilda användare om riskerna med USB-baserade attacker och vikten av att undvika okänt eller overifierat innehåll.
- Nätverksövervakning: Implementera robust nätverksövervakning för att upptäcka ovanliga aktiviteter och kommunikationer som kan tyda på en kompromiss.
- Uppdatera säkerhetspolicyer: Uppdatera regelbundet säkerhetspolicyer för att hantera nya hot och förstärka förebyggande åtgärder.
UNC4990:s taktik understryker behovet av en proaktiv och flerskiktad cybersäkerhetsstrategi. Både organisationer och individer måste hålla sig informerade, vara vaksamma och kontinuerligt anpassa sina säkerhetsrutiner för att motverka framväxande hot. Inför UNC4990:s innovativa strategier är en kollektiv ansträngning för att stärka motståndskraften mot cybersäkerhet av största vikt.
