2023 年上半年 USB 隨身碟攻擊量再創新高 @ 台灣電腦網路危機處理暨協調中心-TWCERT/CC

資安廠商 Mandiant 日前發表研究報告，指出該公司旗下的資安研究人員，近期發現新一波透過 USB 隨身碟發動攻擊的案例，且攻擊量在 2023 年上半年再創歷年新高。

Mandiant 發現的 USB 隨身碟攻擊活動共有兩大系統，其一稱為「Sogu」，疑似與駭侵團體「TEMP.HEX」有關；另一個稱為「Snowydrive」，疑似由另一個駭侵團體「UNC4698」有關，針對亞洲的多家石油與瓦斯公司發動攻擊。

在 Sogu 的攻擊活動方面，Mandiant 指出該駭侵團體鎖定的攻擊目標十分廣泛，遍及美國、法國、英國、義大利、波蘭、奧地利、澳洲、瑞士、中國、日本、烏克蘭、新加坡、印尼和菲律賓。

以行業別來看，遭到 Sogu 攻擊的行業以製藥業和 IT 業最多，均達 11.8%，其次為能源產業（9.4%）、通訊業（9.4%）、醫療業（8.2%）、物流業（7.1%）、非營利組織（5.9%）、零售業（4.7%）、媒體業（4.7%）等。

據 Mandiant 分析，Sogu 使用 DLL order 綁架技術，將一個稱為 Korplug 的惡意軟體酬載載入到 Windows 電腦的記憶體中，然後在登錄檔中新增 Run 機碼，以常駐在電腦中並自動執行，並掃瞄電腦中的 MS Office、PDF 檔案與文字檔，試圖竊取其中的有價值資訊，並上傳到控制伺服器中。

而 Sonwydrive 則會在受害電腦中安裝一個後門，讓駭侵者可以透過 Windows 命令列來載入更多惡意軟體酬載、修改 Windows Registry，竊取檔案內容等。

雖然 USB 隨身碟攻擊的手法已十分老舊，但由於人員資安警覺低，仍有相當的成功率；建議各單位應針對電腦 USB 埠的存取權限提高防範能力，並且加強資安教育訓練，並避免使用任何形式的外部實體儲存裝置。