Ностальгическая вспышка: USB-носители снова используются для распространения вредоносного софта

В первой половине 2023 года исследователи Mandiant было обнаружено сразу две разных вредоносных кампании, использующие USB-устройства для заражения компьютеров. Одна из них называется «Sogu» и связана с китайской хакерской группировкой «TEMP.HEX», которая специализируется на кибершпионаже. Другая именуется «Snowydrive» и приписывается хакерам UNC4698, которые обычно атакуют нефтегазовые компании в Азии.

Ранее, в ноябре 2022 года, Mandiant уже сообщала об операции с участием Китая, которая использовала USB-устройства для заражения объектов на Филиппинах четырьмя разными семействами вредоносных программ.

А в январе 2023 года команда Unit 42 из Palo Alto Network обнаружила вариант PlugX, который мог прятаться на флешках и заражать подключенные к ним компьютеры с Windows.

Кампания Sogu

По словам Mandiant, Sogu — это самая агрессивная кампания по кибершпионажу с использованием USB-устройств, которая нацелена на многие отрасли по всему миру и пытается украсть большой перечень различных данных с зараженных компьютеров.

Жертвами Sogu уже стали пользователи из США, Франции, Великобритании, Италии, Польши, Австрии, Австралии, Швейцарии, Китая, Японии, Украины, Сингапура, Индонезии и Филиппин. Большинство пострадавших принадлежат к фармацевтической, IT, энергетической, коммуникационной, медицинской и логистической сферам, но есть жертвы и из других отраслей.

После запуска вредоносного файла c заражённого USB-накопителя загрузчик Sogu под названием «Korplug» запускает C-шеллкод в памяти через DLL Sideloading. Sogu сохраняет своё присутствие в системе, создавая ключ Run в реестре и используя планировщик задач Windows для регулярного запуска.

Вредоносная программа создаёт пакетный файл в корзине Windows, который помогает с разведкой системы, сканируя зараженную машину на предмет документов Microsoft Office, PDF и других текстовых файлов, которые гипотетически могут содержать ценные данные.

Все файлы, отобранные программой, копируются в два каталога: один на диске C:\ скомпрометированного хоста и один в рабочем каталоге на USB-флешке. Затем они шифруются с помощью base64.

Документы в конечном итоге отправляются на C2-сервер по TCP или UDP с использованием HTTP или HTTPS-запросов.

Sogu также поддерживает выполнение произвольных команд, запуск файлов, удалённый рабочий стол, снимки экрана с зараженного компьютера, установку обратной оболочки и кейлоггинг. Кроме того, вредонос автоматически копирует себя на все подключаемые съёмные носители для распространения на другие компьютеры.

Кампания Snowydrive

Snowydrive — это вредоносная операция, которая заражает компьютеры бэкдором, позволяющим злоумышленникам выполнять произвольные полезные нагрузки через командную строку Windows, изменять реестр и выполнять различные действия с файлами и каталогами.

Заражение так же происходит через исполняемый файл на USB-накопителе, который запускает извлечение и выполнение компонентов вредоносной программы. Каждый компонент выполняют определенную роль, например, установку постоянства в системе, уклонение от обнаружения, установка бэкдора и обеспечение распространения вредоносной программы через новые подключенные USB-накопители.

Snowydrive — это шеллкод-бэкдор, который загружается в процесс «CUZ.exe», который является законным программным обеспечением для распаковки архивов. Бэкдор поддерживает множество команд, которые позволяют выполнять операции с файлами, выведение данных, обратную оболочку, выполнение команд и разведку.

Для уклонения от обнаружения вредоносная программа использует злонамеренный DLL, подгружаемый «GUP.exe», законным процессом для обновления блокнота Notepad++, чтобы скрывать расширения файлов и определенные файлы, помеченные как «системные» или «скрытые».

Атаки через USB-устройства продолжаются

Хотя атаки через USB-устройства требуют физического доступа к целевым компьютерам для достижения заражения, у них есть уникальные преимущества, которые сохраняют их актуальность и популярность даже в 2023 году, как сообщает Mandiant.

К преимуществам относятся обход механизмов безопасности, скрытность, первичный доступ к корпоративным сетям и возможность заражать изолированные системы, отделенные от общих сетей из соображений безопасности.

По данным Mandiant, типографии и гостиницы являются горячими точками для заражения USB-вирусами. Однако, учитывая по большей степени случайных характер распространения этого вредоносного софта, любая система с USB-портом потенциально может стать целью злоумышленников.

Перед началом работы с любыми съёмными накопителями, даже с личными, стоит включить в вашей системе отображение расширений для зарегистрированных типов файлов и показ скрытых элементов. При обнаружении подозрительных и неизвестных вам документов — всегда обращайте внимание на их расширение. Если это исполняемый файл или ярлык, не стоит его запускать. Лучше сразу удалить подобные файлы с флешки и тщательно просканировать последнюю антивирусным программным обеспечением.