以網(wǎng)絡(luò)釣魚(yú)郵件攻擊企業(yè)聞名的FIN7 APT組織，正在針對(duì)企業(yè)網(wǎng)絡(luò)發(fā)動(dòng)新一輪的攻擊。

該組織部署了新的戰(zhàn)術(shù)，通過(guò)美國(guó)郵政服務(wù)(USPS)給目標(biāo)企業(yè)的人力資源(HR)，信息技術(shù)(IT)或執(zhí)行管理(EM)等部門(mén)的員工郵寄包裹，包裹中一般包含USB設(shè)備、禮品卡等。當(dāng)員工將USB設(shè)備插入計(jì)算機(jī)時(shí)，會(huì)注入命令以下載并執(zhí)行以GRIFFON跟蹤的JavaScript后門(mén)。

攻擊案例

Trustwave的專家分析了其中一次攻擊。該網(wǎng)絡(luò)安全公司的一位客戶收到了一個(gè)郵件，據(jù)信是百思買(mǎi)(Best Buy)給到其忠實(shí)客戶的50美元禮品卡。其中還包括一個(gè)看似無(wú)害的USB驅(qū)動(dòng)器，聲稱里面包含一個(gè)物品清單。

這樣的包裹被發(fā)送給多家企業(yè)，包括零售業(yè)、餐飲、酒店。武器化的USB設(shè)備模仿用戶擊鍵特征，啟動(dòng)PowerShell命令從遠(yuǎn)程服務(wù)器檢索惡意軟件。專家們觀察到惡意代碼聯(lián)絡(luò)域名與IP地址位于俄羅斯。

事實(shí)上，攻擊者很容易找到像Arduino這樣的開(kāi)發(fā)板，進(jìn)行配置為模擬鍵盤(pán)等人機(jī)界面設(shè)備(HID)，并啟動(dòng)一組預(yù)先配置的擊鍵來(lái)加載和執(zhí)行任何類型的惡意軟件。分析中，研究人員檢查了驅(qū)動(dòng)器上是否有序列號(hào)等字樣。在印刷電路板驅(qū)動(dòng)器的頂部，看到了“HW-374”。通過(guò)谷歌搜索，很快地在shopee.tw上搜索到一個(gè)“BadubLeonardoUSBATMag32U4”出售。

該USB設(shè)備使用Arduino微控制器ATMEGA32U4，并編程模擬USB鍵盤(pán)。由于PC默認(rèn)情況下信任鍵盤(pán)USB設(shè)備，一旦插入，鍵盤(pán)模擬器就會(huì)自動(dòng)插入惡意命令。然后Powershell腳本運(yùn)行第三階段JavaScript，收集系統(tǒng)信息并刪除其他惡意軟件。根據(jù)FBI的警告，一旦收集到目標(biāo)的信息，F(xiàn)IN7組織就開(kāi)始橫向移動(dòng)以獲取管理權(quán)限。在收集到的信息發(fā)送到C&C服務(wù)器之后。主Jscript代碼會(huì)進(jìn)入一個(gè)無(wú)限循環(huán)，在每個(gè)循環(huán)迭代中睡眠2分鐘，然后從命令和控件獲取一個(gè)新命令。

總之，一旦USB控制器芯片被重新編程用于其他用途(如模擬USB鍵盤(pán))，這些設(shè)備就可以被用來(lái)發(fā)動(dòng)攻擊，并在用戶不知情的情況下感染他們的計(jì)算機(jī)。再加上這些設(shè)備非常便宜，任何人都可以隨時(shí)使用，這也意味著攻擊者野外利用這些技術(shù)和設(shè)備只是時(shí)間問(wèn)題。

可能很快，攻擊者將從簡(jiǎn)單的USB閃存轉(zhuǎn)移到更高級(jí)的攻擊方案，例如USB電纜(例如#USBsamurai或#EvilCrow)。攻擊者在其內(nèi)部使用“惡意植入物”可以進(jìn)行 BADUSB類型的攻擊。再比如鼠標(biāo)或USB風(fēng)扇中嵌入“WHIDelite”……