Σύμφωνα με νέα έκθεση της εταιρείας κυβερνοασφάλειας Mandiant, συσκευές USB χρησιμοποιούνται για την παραβίαση στόχων στη Νοτιοανατολική Ασία.
Δείτε επίσης: Symoo: Ψεύτικη εφαρμογή που δημιουργεί αυτόματα λογαριασμούς
Οι συσκευές USB είναι ένας αρχικός φορέας πρόσβασης που δεν χρησιμοποιείται τόσο συχνά, επειδή απαιτεί φυσική πρόσβαση στη συσκευή-στόχο, η οποία μπορεί να παρέχεται από έναν υπάλληλο εν αγνοία του.
Το FBI ανακοίνωσε πρόσφατα ότι οι εγκληματίες του κυβερνοχώρου στέλνουν πλέον στους Αμερικανούς μέσω ταχυδρομείου συσκευές USB με κακόβουλο λογισμικό. Εάν αυτές οι συσκευές συνδεθούν σε έναν υπολογιστή, δίνουν στους εγκληματίες πρόσβαση στο δίκτυο του ατόμου αυτού.
Η νέα εκστρατεία στη Νοτιοανατολική Ασία ξεκίνησε τον Σεπτέμβριο του 2021, σύμφωνα με ανάρτηση που δημοσιεύθηκε τη Δευτέρα από την Mandiant Managed Defence.
Οι ερευνητές διαπίστωσαν ότι η ομάδα πίσω από το hack στοχεύει οντότητες στις Φιλιππίνες. Πιστεύουν ότι αυτή η ομάδα έχει κάποια σχέση με την Κίνα, αν και δεν μπορούν να πουν με βεβαιότητα ότι είναι κρατικά χρηματοδοτούμενη.
Δείτε επίσης: GameStop: Η διαρροή δεδομένων ήταν δοκιμή και όχι πραγματική
Οι εκστρατείες που διεξήχθησαν από τον απειλητικό παράγοντα – που παρακολουθείται ως UNC4191 – «επηρέασαν μια σειρά από οντότητες του δημόσιου και του ιδιωτικού τομέα κυρίως στη Νοτιοανατολική Ασία και επεκτείνονται στις ΗΠΑ, την Ευρώπη και την APJ [Ιαπωνία Ασίας-Ειρηνικού]», ανέφεραν οι ερευνητές.
Τα συστήματα που αποτέλεσαν στόχο του UNC4191 βρίσκονταν στις Φιλιππίνες, ακόμη και όταν οι ίδιοι οι οργανισμοί είχαν την έδρα τους αλλού.
Μετά την αρχική μόλυνση μέσω συσκευών USB, οι χάκερ χρησιμοποιούν υπογεγραμμένα binaries για να φορτώσουν κακόβουλο λογισμικό σε υπολογιστές-στόχους.
Η Mandiant ανακάλυψε τρεις νέες οικογένειες κακόβουλου λογισμικού, γνωστές ως MISTCLOAK, DARKDEW και BLUEHAZE.
Αυτά παρέχουν ένα reverse shell στο σύστημα του θύματος, δίνοντας στους χάκερς UNC4191 πρόσβαση backdoor. Στη συνέχεια, το κακόβουλο λογισμικό αυτο-αντιγραφόταν μολύνοντας τυχόν νέα αφαιρούμενα drive που είναι συνδεδεμένα στους παραβιασμένους υπολογιστές, επιτρέποντας στο κακόβουλο λογισμικό να εξαπλωθεί ακόμη και σε συστήματα air-gapped.
Δείτε επίσης: Χάκερ έκλεψαν «δεκάδες χιλιάδες» ευρώ από το Carndonagh Traders Association
Οι ερευνητές δήλωσαν ότι, δεδομένου ότι το κακόβουλο λογισμικό εξακολουθεί να ελίσσεται, μπορεί να έχουν εντοπίσει μόνο τα μεταγενέστερα στάδια του proliferation του.
Η εκστρατεία αποσκοπεί στην παράνομη πρόσβαση σε δημόσιους και ιδιωτικούς φορείς με σκοπό την απόκτηση πληροφοριών που θα ωφελήσουν τα πολιτικά και εμπορικά συμφέροντα της Κίνας.
Με βάση τον αριθμό των προσβεβλημένων συστημάτων που βρίσκονται στη χώρα αυτή και εντοπίστηκαν από τη Mandiant, φαίνεται ότι οι κύριοι στόχοι της επιχείρησης βρίσκονται στις Φιλιππίνες.
Πηγή πληροφοριών: therecord.media
