Пятница, 4 декабря, 12:38
дома безопасность ФБР: хакеры отправляют вредоносные USB-диски через USPS

ФБР: хакеры отправляют вредоносные USB-диски через USPS

Хакеры из группы киберпреступности FIN7 нацелены на различные предприятия с вредоносными USB-устройствами, которые при подключении к компьютеру выступают в качестве клавиатуры. Вставленные команды загружают и выполняют бэкдор JavaScript, связанный с этим хакером.

В четверг ФБР предупреждает службы безопасности и специалистов об этой тактике, принятой FIN7 для доставки вредоносного ПО GRIFFON.

Атака является разновидностью уловки «потерянный USB», которую тестеры на проникновение довольно успешно использовали в течение нескольких лет в своих оценках и проанализировали инцидент. исследователи от Trustwave.

Клиент кибербезопасности получил пакет, предположительно от Best Buy, с подарочной картой на 50 долларов. В конверте был USB-накопитель, на котором, как утверждается, содержался список продуктов, которые можно было приобрести с помощью подарочной карты.

Однако это не разовый инцидент.

ФБР предупреждает, что FIN7 разослал эти пакеты многим предприятиям (ритейлерам, ресторанам, отелям), нацеленным на сотрудников в отделах кадров, информационных технологий или управления.

В последнее время компьютерная группа FIN7,1, известная своей атакой на такие предприятия с помощью фишинговых сообщений (фишинг), использовала дополнительную тактику для отправки USB-устройств через Почтовая служба США (USPS). Пакеты иногда включают такие предметы, как плюшевые мишки или подарочные карты для целевых сотрудников компании работает в отделах кадров, информатики (IT) или Исполнительное командование (EM) », - предупреждает ФБР.

ФБР сообщает, что злонамеренный модуль настроен на имитацию нажатий клавиш, запускающих команду PowerShell, для восстановления вредоносных программ с серверов, контролируемых нарушителями. Затем USB-устройство связывается с доменом или IP-адресами в России.

Дни, когда USB-накопители предназначались только для хранения, давно прошли. Несколько плат разработки (Teensy, Arduino) теперь доступны для программирования для имитации устройства с человеческим интерфейсом (HID), такого как клавишные и мыши и запускаем предопределенный набор ключей для удаления вредоносных полезных нагрузок. Они называются HID или USB-атаками, которые просты в исполнении и стоят недорого.

Trustwave проанализировал эту вредоносную активность USB и обнаружил две команды PowerShell, которые привели к появлению подделки ошибка для флэш-накопителя и, в конечном счете, для выполнения JavaScript на третьем этапе, который может собирать системную информацию и загружать другие вредоносные программы

Чтобы лучше обобщить ход атаки, исследователи создали следующее изображение, которое проясняет стадии компромисса, которые привели к разработке вредоносного ПО по выбору злоумышленника.

В уведомлении ФБР сообщается, что после этапа идентификации хакер начинает двигаться вбок в поисках своих привилегий. админ.

FIN7 использует несколько инструментов для достижения своей цели. Список включает в себя MetasploitКобальт Страйк, Скрипты PowerShell, Вредоносное ПО Carbanak, бэкдор Griffon, вредоносная программа Boostwrite и удаленное управление RdfSniffer доступ.

Атаки BadUSB, доказанные исследователем безопасности Карстеном Нолом в 2014 году, чаще встречаются в тестирование на проникновение и есть много альтернатив в эти дни. Самые гибкие по цене 100 долларов.

FIN7 шла с простой и недорогой версией, которая стоит от 5 до 14 долларов, в зависимости от поставщика и страны. отправка, ФБР отмечает в своем предупреждении, что микроконтроллер является ATMEGA24U, в то время как тот, кто следил за Trustwave, имел ATMEGA32U4.

Однако оба варианта были напечатаны на плате «HW-374» и идентифицированы как Arduino Leonardo, специально запрограммированная для работы в качестве клавиатуры / мыши. Настроить клавиши и жесты мыши можно с помощью Arduino IDE.

Подключение неизвестных USB-устройств к одному рабочая станция является общеизвестной угрозой безопасности, но все еще игнорируется многими пользователями.

Организации могут предпринять предупредительные атаки на вредоносные USB-накопители, разрешая доступ только к устройствам, контролируемым их идентификатором оборудования, и запретив доступ ко всем остальным.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Фишинговая кампания нацелена на университеты по всему миру

Согласно новому отчету RiskIQ, университеты и колледжи по всему миру стали объектом новой фишинг-кампании.

Бесчисленные вредоносные боты на сайтах рождественских покупок

Миллионы «вредоносных ботов» используются киберпреступниками с тысяч различных IP-адресов для проведения атак типа «отказ в обслуживании» (DDoS), чтобы ...

Хакеры заявляют, что украли 2 миллиона кредитных карт у E-Land

Банда вымогателей Clop утверждает, что украла 2 миллиона кредитных карт у E-Land Retail.

Дело об утечке данных в Home Depot закрыто

После целых двух лет расследования нарушения безопасности в 2014 году, в результате которого были обнаружены личные данные 40 миллионов клиентов, The ...

Магазин Google Play: приложения остаются уязвимыми для старых уязвимостей

Согласно Check Point, многие приложения для Android, доступные в официальном магазине Google Play, уязвимы для старой уязвимости ...

Аляска: из-за нарушения раскрыта информация 113.000 тысяч избирателей

Аляска: атака на государственную систему регистрации избирателей привела к утечке личных данных 113.000 избирателей, как было объявлено ...

TransLink: вымогатель Egregor попадает в систему MMM Ванкувера

Банда вымогателей Egregor совершила кибератаку на TransLink, систему MMM в Ванкувере, что привело к перебоям в предоставлении услуг ...

Группа «Абса»: Сотрудник банка продал данные 200.000 XNUMX клиентов!

Южноафриканская группа финансовых услуг Absa сообщила, что один из ее сотрудников продал 200.000 XNUMX данных о клиентах третьим лицам. ...

Kmart: программа-вымогатель Egregor «поразила» универмаг США!

Универмаг «Kmart» в США был атакован программой-вымогателем, которая затронула его серверные службы. Sears Holding Corp ....
00: 02: 27

Apple: «Брешь в безопасности» позволяет удаленно управлять iPhone через Wi-Fi!

Брешь в системе безопасности, обнаруженная в Apple, позволила злоумышленнику удаленно управлять iPhone через сеть Wi-Fi. С ним...