在最近的披露中,网络安全公司 Mandiant 曝光了一个名为 UNC4990 的具有经济动机的威胁行为者的活动。这个复杂的组织正在采用基于 USB 的攻击和利用合法在线平台(包括 GitHub、Vimeo 和 Ars Technica)的独特组合。通过将编码的有效负载隐藏在这些平台上看似无害的内容中,UNC4990 设法避免检测并利用与信誉良好的内容交付网络相关的信任。
UNC4990 基于 USB 的攻击策略
UNC4990 的行动包括通过以下方式发起运动: USB设备 包含恶意 LNK 快捷方式文件。一旦受害者无意中执行这些文件,就会触发名为 explorer.ps1 的 PowerShell 脚本。该脚本随后会下载一个中间有效负载,经过解码后会显示一个 URL,用于获取名为“EMPTYSPACE”的恶意软件下载程序。
威胁行为者为这些中间有效负载部署各种托管方法,包括 GitHub 和 GitLab 上的编码文本文件。然而,该组织已改变策略,利用 Vimeo 和 Ars Technica 来托管 Base64 编码和 AES 加密的字符串有效负载。重要的是,UNC4990 不会利用这些平台中的漏洞,而是巧妙地使用常规功能,例如 Ars Technica 论坛配置文件和 Vimeo 视频描述。
这些有效负载是托管平台内看似无害的文本字符串,但在攻击链中发挥着至关重要的作用,有助于恶意软件的下载和执行。通过在合法内容中嵌入恶意负载并利用信誉良好的平台,UNC4990 能够在雷达下运行,这使得安全系统很难将其标记为可疑。
UNC4990 的多组件后门:QUIETBOARD
随着 UNC4990 攻击链的进展,威胁组织部署了 QUIETBOARD,这是一种具有多种功能的复杂后门。一旦激活,这个多组件后门就会执行来自命令和控制 (C2) 服务器的命令。它的一些功能包括更改剪贴板内容以窃取加密货币、感染 USB 驱动器以传播恶意软件、捕获屏幕截图以窃取信息以及收集详细的系统和网络信息。 QUIETBOARD 在系统重新启动后表现出持久性,并支持通过额外模块添加新功能。
尽管采取了传统的预防措施,基于 USB 的恶意软件仍然是一个重大威胁,成为网络犯罪分子的有效传播媒介。 UNC4990 使用看似无害的平台作为中间有效负载的创新方法挑战了传统的安全范式,并强调需要在网络安全的动态环境中持续保持警惕。
防范 UNC4990 和类似威胁
- 增强端点安全性: 加强端点安全措施,以检测和防止恶意 LNK 快捷方式文件和 PowerShell 脚本的执行。
- USB设备警惕: 使用 USB 设备时请务必小心,避免执行不熟悉或可疑的文件。
- 定期安全审核: 进行例行安全审核,以识别和减少系统和网络中的漏洞。
- 用户教育: 教育用户了解与基于 USB 的攻击相关的风险以及避免未知或未经验证的内容的重要性。
- 网络监控: 实施强大的网络监控,以检测可能表明存在威胁的异常活动和通信。
- 更新安全策略: 定期更新安全策略以应对不断变化的威胁并加强预防措施。
UNC4990 的策略强调需要采取积极主动的多层网络安全方法。组织和个人都必须随时了解情况,保持警惕,并不断调整其安全实践,以阻止新兴的威胁 威胁。面对 UNC4990 的创新战略,增强网络安全弹性的集体努力至关重要。
