USB malware rejtett mélységei
A Mandiant Managed Defense nyomon követte az UNC4990-et, egy olyan szereplőt, amely nagymértékben USB-eszközöket használ a kezdeti fertőzéshez. Az UNC4990 elsősorban olaszországi felhasználókat céloz meg, és valószínűleg anyagi haszonszerzés motiválja. A Mandiant szerint ez a kampány legalább 2020 óta tart.
Annak ellenére, hogy az UNC4990 az USB-meghajtók fegyverként való felhasználásának taktikájára támaszkodik, folyamatosan fejleszti eszközeit, taktikáit és eljárásait (TTP). A szereplő a látszólag jóindulatúnak tűnő, kódolt szöveges fájlok használatáról áttért a payload olyan népszerű webhelyeken való elhelyezésére, mint az Ars Technica, a GitHub, a GitLab és a Vimeo.
Az UNC4990 által visszaélve használt legális szolgáltatások nem jártak az említett oldalak ismert vagy ismeretlen sebezhetőségének kihasználásával, és ezen szervezetek egyikénél sem volt semmi olyan hibásan konfigurálva, ami lehetővé tette volna ezt a visszaélést. Ráadásul az ezeken a szolgáltatásokon hosztolt tartalom nem jelentett közvetlen kockázatot a szolgáltatások mindennapi felhasználóira nézve, mivel az elszigetelten hosztolt tartalom teljesen jóindulatú volt. Bárki, aki véletlenül rákattintott vagy megtekintette ezt a tartalmat a múltban, nem volt veszélyben.
A Mandiant megfigyelte, hogy az UNC4990 az EMPTYSPACE-t (más néven VETTA Loader és BrokerLoader), egy olyan letöltőprogramot, amely képes a parancs- és vezérlő (C2) szerver által kiszolgált bármilyen hasznos terhet végrehajtani, valamint a QUIETBOARD-ot, amely egy hátsó ajtó, amelyet az EMPTYSPACE segítségével juttattak el.
A fertőzés azzal kezdődött, hogy az áldozat duplán kattintott egy rosszindulatú LNK parancsikon fájlra egy cserélhető USB-eszközön. Az LNK-fájl elnevezési konvenciója általában az USB-eszköz szállítójától és a zárójelben lévő tárhely méretétől állt, például: KINGSTON (32GB).lnk. A Mandiant olyan eseteket is megfigyelt, amikor a gyártó neve helyett a meghajtócímkét használták, például: D (32GB).lnk.
Ezen kívül az LNK fájl ikonja a Microsoft Windows meghajtók alapértelmezett ikonjára lett állítva. Ez valószínűleg azért történt, hogy rávegyék a gyanútlan felhasználókat, hogy duplán kattintsanak a fájlra, ami végül elindította az LNK-fájlba ágyazott funkciót.
A. Mendiant megosztotta az azonosításhoz szükséges mutatókat.