close

_10_2023.07.14_2023_年上半年_USB_隨身碟攻擊量再創新高

資安廠商 Mandiant 日前發表研究報告,指出該公司旗下的資安研究人員,近期發現新一波透過 USB 隨身碟發動攻擊的案例,且攻擊量在 2023 年上半年再創歷年新高。

Mandiant 發現的 USB 隨身碟攻擊活動共有兩大系統,其一稱為「Sogu」,疑似與駭侵團體「TEMP.HEX」有關;另一個稱為「Snowydrive」,疑似由另一個駭侵團體「UNC4698」有關,針對亞洲的多家石油與瓦斯公司發動攻擊。

在 Sogu 的攻擊活動方面,Mandiant 指出該駭侵團體鎖定的攻擊目標十分廣泛,遍及美國、法國、英國、義大利、波蘭、奧地利、澳洲、瑞士、中國、日本、烏克蘭、新加坡、印尼和菲律賓。

以行業別來看,遭到 Sogu 攻擊的行業以製藥業和 IT 業最多,均達 11.8%,其次為能源產業(9.4%)、通訊業(9.4%)、醫療業(8.2%)、物流業(7.1%)、非營利組織(5.9%)、零售業(4.7%)、媒體業(4.7%)等。

據 Mandiant 分析,Sogu 使用 DLL order 綁架技術,將一個稱為 Korplug 的惡意軟體酬載載入到 Windows 電腦的記憶體中,然後在登錄檔中新增 Run 機碼,以常駐在電腦中並自動執行,並掃瞄電腦中的 MS Office、PDF 檔案與文字檔,試圖竊取其中的有價值資訊,並上傳到控制伺服器中。

而 Sonwydrive 則會在受害電腦中安裝一個後門,讓駭侵者可以透過 Windows 命令列來載入更多惡意軟體酬載、修改 Windows Registry,竊取檔案內容等。

雖然 USB 隨身碟攻擊的手法已十分老舊,但由於人員資安警覺低,仍有相當的成功率;建議各單位應針對電腦 USB 埠的存取權限提高防範能力,並且加強資安教育訓練,並避免使用任何形式的外部實體儲存裝置。

  • 參考連結

The Spies Who Loved You: Infected USB Drives to Steal Secrets

https://www.mandiant.com/resources/blog/infected-usb-steal-secrets

USB drive malware attacks spiking again in first half of 2023

https://www.bleepingcomputer.com/news/security/usb-drive-malware-attacks-spiking-again-in-first-half-of-2023/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()