Τρίτη, 26 Μαΐου, 02:52
Αρχική security FBI: Hackers στέλνουν κακόβουλους δίσκους USB μέσω USPS

FBI: Hackers στέλνουν κακόβουλους δίσκους USB μέσω USPS

Οι hackers από την ομάδα ηλεκτρονικών εγκλημάτων FIN7 έχουν στοχεύσει διάφορες επιχειρήσεις με κακόβουλες συσκευές USB που λειτουργούν ως πληκτρολόγιο όταν συνδέονται σε υπολογιστή. Οι injected εντολές κατεβάζουν και εκτελούν ένα backdoor JavaScript που σχετίζεται με αυτόν τον hacker.

Σε μια προειδοποίηση την Πέμπτη, το FBI προειδοποιεί οργανισμούς και επαγγελματίες ασφαλείας σχετικά με αυτή την τακτική που υιοθέτησε η FIN7 για την παράδοση του malware  GRIFFON.

Η επίθεση είναι μια παραλλαγή του “χαμένου USB” ruse που οι penetration testers χρησιμοποιούσαν για αρκετά χρόνια στις αξιολογήσεις τους αρκετά επιτυχώς και ένα περιστατικό αναλύθηκε από τους ερευνητές του Trustwave.

Ένας πελάτης της εταιρείας cybersecurity έλαβε ένα πακέτο, υποτίθεται από την Best Buy, που περιείχε μια δωροκάρτα ανταμοιβής 50 δολαρίων. Στον φάκελο υπήρχε μια μονάδα USB που ισχυριζόταν ότι περιέχει μια λίστα προϊόντων που είναι επιλέξιμα για αγορά χρησιμοποιώντας τη δωροκάρτα.

Ωστόσο, αυτό δεν είναι ένα one-off περιστατικό.

Το FBI προειδοποιεί ότι η FIN7 έχει στείλει αυτά τα πακέτα σε πολλές επιχειρήσεις (λιανικής, εστιατόρια, ξενοδοχεία) όπου στοχεύουν υπαλλήλους σε τμήματα ανθρώπινου δυναμικού, πληροφορικής ή διευθυντικά στελέχη.

“Πρόσφατα, η ομάδα ηλεκτρονικών υπολογιστών FIN7,1, γνωστή για τη στόχευση τέτοιων επιχειρήσεων μέσω μηνυμάτων ηλεκτρονικού “ψαρέματος” (phishing), χρησιμοποίησε μια πρόσθετη τακτική για την αποστολή συσκευών USB μέσω της ταχυδρομικής υπηρεσίας των Ηνωμένων Πολιτειών (USPS). Τα πακέτα περιλαμβάνουν μερικές φορές στοιχεία όπως αρκουδάκια ή δωρόκάρτες σε υπαλλήλους στοχευμένων εταιρειών που εργάζονται στα τμήματα των Ανθρωπίνων Πόρων, της Πληροφορικής (IT) ή της Εκτελεστικής Διοίκησης (EM), “αναφέρει η προειδοποίηση του FBI.

Το FBI λέει ότι η κακόβουλη μονάδα έχει ρυθμιστεί ώστε να εξομοιώνει πληκτρολογήσεις που ξεκινούν μια εντολή PowerShell με στόχο να ανακτήσει κακόβουλα προγράμματα από servers που ελέγχονται από τον εισβολέα. Στη συνέχεια, η συσκευή USB επικοινωνεί με domain ή διευθύνσεις IP στη Ρωσία.

Οι ημέρες που οι μονάδες USB flash ήταν μόνο για αποθήκευση έχουν περάσει κατά πολύ. Αρκετοί πίνακες ανάπτυξης (Teensy, Arduino) είναι πλέον διαθέσιμοι για προγραμματισμό για να μιμηθούν μια συσκευή ανθρώπινης διεπαφής (HID) όπως πληκτρολόγια και ποντίκια και να εκκινήσουν ένα προκαθορισμένο σύνολο πλήκτρων για να αποθέσουν κακόβουλα payloads. Αυτές ονομάζονται επιθέσεις HID ή USB drive-by που είναι εύκολο να πραγματοποιηθούν και δεν κοστίζουν πολύ.

Το Trustwave ανέλυσε αυτήν την κακόβουλη δραστηριότητα USB και διαπίστωσε δύο εντολές PowerShell που οδήγησαν στην εμφάνιση ενός ψεύτικου σφάλματος για τη μονάδα thumb drive και τελικά στην εκτέλεση JavaScript του τρίτου σταδίου που μπορεί να συλλέξει πληροφορίες συστήματος και να μεταφορτώσει άλλα κακόβουλα προγράμματα.

Για να συνοψίσουμε καλύτερα τη ροή επίθεσης, οι ερευνητές δημιούργησαν την παρακάτω εικόνα, η οποία αποσαφηνίζει τα στάδια του compromise που οδήγησαν στην ανάπτυξη malware από την επιλογή του εισβολέα.

Η ειδοποίηση από το FBI πληροφορεί ότι μετά την φάση αναγνώρισης ο hacker αρχίζει να κινείται πλευρικά επιδιώκοντας τα προνόμια των admin.

Η FIN7 χρησιμοποιεί πολλαπλά εργαλεία για να επιτύχει το στόχο της. Ο κατάλογος περιλαμβάνει Metasploit, Cobalt Strike, PowerShell scripts, κακόβουλο λογισμικό Carbanak, backdoor Griffon, dropper Boostwrite κακόβουλης λειτουργίας και μονάδα RdfSniffer με δυνατότητες απομακρυσμένης πρόσβασης.

Οι επιθέσεις BadUSB, που έχουν αποδειχτεί από τον ερευνητή ασφάλειας Karsten Nohl το 2014, είναι πλέον συχνές στα penetration testing και υπάρχουν πολλές εναλλακτικές λύσεις αυτές τις μέρες. Οι πιο ευέλικτες πωλούνται στην τιμή των $ 100.

Η FIN7 πήγε με μια απλή και φθηνή έκδοση, όμως, που κοστίζει μεταξύ $ 5- $ 14, ανάλογα με τον προμηθευτή και τη χώρα αποστολής. Το FBI σημειώνει στην προειδοποίησή του ότι ο μικροελεγκτής είναι ένας ATMEGA24U, ενώ αυτός που βλέπει το Trustwave είχε ATMEGA32U4.

Ωστόσο, και οι δύο παραλλαγές είχαν τυπωθεί στον πίνακα κυκλωμάτων “HW-374” και αναγνωρίζονται ως ένα Arduino Leonardo, το οποίο είναι ειδικά προγραμματισμένο να λειτουργεί ως πληκτρολόγιο / ποντίκι. Η προσαρμογή των πλήκτρων και των κινήσεων του ποντικιού είναι δυνατή χρησιμοποιώντας το IDE του Arduino.

Η σύνδεση των άγνωστων συσκευών USB σε ένα workstation είναι ένας πολύ γνωστός κίνδυνος για την ασφάλεια, αλλά εξακολουθεί να αγνοείται από πολλούς χρήστες.

Οι οργανισμοί μπορούν να λάβουν προφυλάξεις εναντίον των επιθέσεων μέσω κακόβουλων μονάδων USB, επιτρέποντας την πρόσβαση μόνο σε συσκευές με έλεγχο βάσει του hardware ID τους και αρνούμενοι την πρόσβαση σε όλες τις άλλες.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Bill Gates: Νέα θεωρία συνωμοσίας για το εμβόλιο του COVID-19

Νέα θεωρία συνωμοσίας θέλει τον Bill Gates να σχεδιάζει να χρησιμοποιήσει το εμβόλιο, που θα κατασκευαστεί για την καταπολέμηση του COVID-19, για...

Power Glove: Μετατράπηκε σε χειριστήριο modular synth!

Power Glove: μετατράπηκε σε χειριστήριο modular synth: O Sam Battle, βρήκε τον τρόπο να μετατρέψει το γάντι της Nintendo, σε «τηλεχειριστήριο» μουσικής,...

PowerToys: Κυκλοφόρησε η έκδοση 0.18 με δύο νέα εργαλεία

Στο συνέδριο Microsoft Build 2020, η Microsoft ανακοίνωσε τα PowerToys 0.18, τα οποία περιέχουν δύο νέα εργαλεία,...

Mozilla, Twitter και Reddit: Απαραίτητη η προστασία του ιστορικού αναζήτησης και περιήγησης των χρηστών

Μια ομάδα επτά εταιρειών Internet δεσμεύεται να υπερασπιστεί το απόρρητο των χρηστών της αυτή την εβδομάδα, όταν η Βουλή των Αντιπροσώπων των...

Το eBay port σαρώνει τα PC για προγράμματα remote access

Όταν επισκέπτεστε τον ιστότοπο eBay.com, θα τρέχει ένα script που εκτελεί σάρωση τοπικής θύρας του υπολογιστή σας για να εντοπίσει εφαρμογές απομακρυσμένης...

Παραβίαση σε τράπεζα οδήγησε σε διαρροή στοιχείων καρτών πελατών

Οι hackers πίσω από το Maze ransomware δημοσίευσαν δεδομένα καρτών πληρωμής που έκλεψαν από την Τράπεζα της...

Κυκλοφόρησε νέο Unc0ver jailbreak: Επηρεάζει την έκδοση iOS 13.5!

Μια ομάδα από hackers, ερευνητές ασφαλείας και μηχανικούς, η Unc0ver, κυκλοφόρησε ένα νέο jailbreak package για iOS...

Hacker πουλά τις βάσεις δεδομένων των Ledger, Trezor και KeepKey

Ο hacker που παραβίασε το φόρουμ Ethereum.org φέρεται να πουλά τις βάσεις δεδομένων για τα τρία πιο δημοφιλή hard wallets κρυπτογράφησης -...

Πλατφόρμα εκπαίδευσης EduCBA: Επαναφέραμε τα password σας

Ο διαδικτυακός ιστότοπος εκπαίδευσης EduCBA άρχισε να ενημερώνει τους πελάτες ότι επανέφεραν τους κωδικούς πρόσβασης μετά από παραβίαση δεδομένων.

Επιχειρήσεις: “Work From Home” ή “Work From Anywhere”;

Στην εποχή μας, στα περισσότερα επαγγέλματα οι εργαζόμενοι περνούν το μεγαλύτερο μέρος του χρόνου τους σε ένα γραφείο, μπροστά από έναν υπολογιστή....