To adskilte trusselsaktører bruger forgiftede USB-drev til at sprede malware i cyberspionagekampagner rettet mod organisationer over hele verden. Disse igangværende angreb understreger nødvendigheden af, at sikkerhedsteams begrænser adgangen til USB-drev og andre eksterne enheder på medarbejdernes systemer.

I en kampagne, kendt som TEMP.Hex og knyttet til Kina, bruges USB-flashdrev til at implementere "Sogu" malware, designet til at stjæle følsomme oplysninger fra værtssystemer. Når Sogu først er inde i et system, replikerer Sogu sig selv til ethvert tilsluttet flytbart drev, hvilket gør det muligt for angriberen at sprede nyttelasten til andre systemer, inklusive potentielt luftgappede systemer.

Mandiants rapport

Sikkerhedsforskere hos Mandiant har for nylig afsløret denne trussel og mener, at TEMP.Hex bruger Sogu til at indsamle oplysninger med økonomiske og nationale sikkerhedsinteresser til Kina. Kampagnen udgør en betydelig risiko for forskellige sektorer, især ingeniørvirksomhed, byggeri, regering, transport, sundhed og forretningsservice. Derudover tilskriver Mandiant en anden større cyberspionagekampagne til UNC4698, der involverer inficerede USB-drev til at levere "SnowyDrive"-malware. SnowyDrive skaber en bagdør på inficerede systemer, så angriberne kan interagere med enheden eksternt og udstede kommandoer. Denne kampagne er specifikt rettet mod olie- og gasorganisationer i Asien.

Mandiant rapporterer om en tredobling af USB-baserede angreb i første halvdel af 2023. Selvom sådanne hændelser er relativt sjældne sammenlignet med andre cyberangrebsvektorer, har flere trusselsaktører, herunder store faggrupper, brugt denne taktik.

Sogu og SnowyDrive er blot to eksempler på malware-værktøjer, der implementeres via inficerede USB-drev. I tidligere tilfælde rapporterede Mandiant om UNC4191, en anden Kina-forbundet trusselsaktør, der implementerer fire forskellige malware-familier på inficerede systemer via USB-drev. Derudover undersøgte Check Point en hændelse, der involverede trusselsaktøren "Camaro Dragon" (alias Mustang Panda), som fik adgang til et hospitalsnetværk gennem et inficeret USB-drev og implementerede selvudbredende malware til datatyveri.

Selv økonomisk motiverede grupper som FIN7 (alias Carbanak) har brugt ransomware-loadede USB'er forklædt som legitime regeringsdokumenter til at målrette mod organisationer inden for forsvar, transport og andre sektorer i USA.

For at beskytte mod disse trusler bør organisationer prioritere at implementere begrænsninger på eksterne enheder som USB-drev. Hvis det ikke er muligt, bør de i det mindste scanne disse enheder for ondsindede filer eller kode, før de forbinder dem til deres interne netværk.

Om Sogu- og SnowyDrive-kampagnerne lykkes, afhænger af, at brugere uforvarende tilslutter de inficerede USB-drev og følger anvisningerne. Hoteller og lokale trykkerier er identificeret som potentielle hotspots for infektion, da mål kan være mindre opmærksomme på sikkerheden, mens de er på forretningsrejser.

Sogu kampagnen

I Sogu-kampagnen indlæser et bevæbnet USB-flashdrev tre filer, når det indsættes i et værtssystem: en lovlig eksekverbar, en ondsindet DLL-indlæser og en krypteret nyttelast. Når den udføres, sideindlæser den legitime eksekverbare "Korplug", en ondsindet DLL-fil, der dekrypterer og indlæser Sogu-bagdøren i hukommelsen. Malwaren indsamler derefter systemmetadata, søger på C-drevet efter specifikke filtyper, iscenesætter den hentede information, eksfiltrerer data og bevarer sin tilstedeværelse på det inficerede system.

SnowyDrive kampagnen

På samme måde kræver SnowyDrive, at brugeren klikker på en ondsindet eksekverbar fil forklædt som en legitim fil efter at have indsat USB-drevet. Denne eksekverbare fungerer som en dropper, der skriver flere krypterede ondsindede filer til disken, inklusive SnowyDrive - en shellcode-baseret bagdør med en omfattende liste af kommandoer. Disse kommandoer muliggør forskellige handlinger, såsom filmanipulation, fjernadgang og keylogging, og malwaren kommunikerer med en kommando-og-kontrol-server.

Organisationer være på vagt med at sikre sig mod USB-baserede cyberangreb ved at implementere adgangsbegrænsninger og scanne eksterne enheder for skadeligt indhold. Bevidsthed og forsigtighed blandt brugere er også afgørende for at forhindre spredning af disse trusler.