資安廠商 Mandiant 日前發表研究報告,指出該公司旗下的資安研究人員,近期發現新一波透過 USB 隨身碟發動攻擊的案例,且攻擊量在 2023 年上半年再創歷年新高。
Mandiant 發現的 USB 隨身碟攻擊活動共有兩大系統,其一稱為「Sogu」,疑似與駭侵團體「TEMP.HEX」有關;另一個稱為「Snowydrive」,疑似由另一個駭侵團體「UNC4698」有關,針對亞洲的多家石油與瓦斯公司發動攻擊。
在 Sogu 的攻擊活動方面,Mandiant 指出該駭侵團體鎖定的攻擊目標十分廣泛,遍及美國、法國、英國、義大利、波蘭、奧地利、澳洲、瑞士、中國、日本、烏克蘭、新加坡、印尼和菲律賓。
以行業別來看,遭到 Sogu 攻擊的行業以製藥業和 IT 業最多,均達 11.8%,其次為能源產業(9.4%)、通訊業(9.4%)、醫療業(8.2%)、物流業(7.1%)、非營利組織(5.9%)、零售業(4.7%)、媒體業(4.7%)等。
據 Mandiant 分析,Sogu 使用 DLL order 綁架技術,將一個稱為 Korplug 的惡意軟體酬載載入到 Windows 電腦的記憶體中,然後在登錄檔中新增 Run 機碼,以常駐在電腦中並自動執行,並掃瞄電腦中的 MS Office、PDF 檔案與文字檔,試圖竊取其中的有價值資訊,並上傳到控制伺服器中。
而 Sonwydrive 則會在受害電腦中安裝一個後門,讓駭侵者可以透過 Windows 命令列來載入更多惡意軟體酬載、修改 Windows Registry,竊取檔案內容等。
雖然 USB 隨身碟攻擊的手法已十分老舊,但由於人員資安警覺低,仍有相當的成功率;建議各單位應針對電腦 USB 埠的存取權限提高防範能力,並且加強資安教育訓練,並避免使用任何形式的外部實體儲存裝置。
- 參考連結
The Spies Who Loved You: Infected USB Drives to Steal Secrets
https://www.mandiant.com/resources/blog/infected-usb-steal-secrets
USB drive malware attacks spiking again in first half of 2023
留言列表