За полгода число атак через USB-устройства возросло в три раза

За полгода число атак через USB-устройства возросло в три раза

За полгода число атак через USB-устройства возросло в три раза

В период с января по июнь Mandian зафиксировала трехкратный рост количества атак, использующих зараженные флешки для кражи данных. Большинство инцидентов связано с несколькими шпионскими операциями, затронувшими госструктуры и частный сектор.

Две активные USB-кампании эксперты подробно разобрали в своем блоге. Одну из них, условно названную Sogu, они приписали прокитайской группировке TEMP.HEX. Автором другой, Snowydrive, по всей видимости, является UNC4698, интересующаяся секретами азиатской нефтянки.

Вредонос, распространяемый через USB-устройства в рамках Sogu, более агрессивен. Заражения выявлены во многих странах и в разных вертикалях:

 

Начальный пейлоад (троян PlugX, он же Korplug) загружает в память шелл-код по методу подмены DLL — написанный на C бэкдор, который в Mandian отслеживают под именем Sogu. Вредонос обеспечивает себе постоянное присутствие с помощью ключа Run и планировщика задач Windows, а затем помещает в корзину (папку Recycle Bin) командный файл, помогающий отыскать в системе документы, которые могут содержать ценные данные.

Найденные файлы копируются в два места: на диск C:\ и в рабочую папку на флешке; содержимое кодируется по base64. Вывод на C2-сервер осуществляется по TCP или UDP с использованием HTTP(S)-запросов.

 

Бэкдор Sogu также умеет выполнять команды, запускать на исполнение файлы, открывать удаленный доступ к рабочему столу, создавать обратный шелл, регистрировать клавиатурный ввод, делать скриншоты. Вредоносная полезная нагрузка может автоматически копироваться на все съемные диски, подключаемые к зараженной системе.

Кампания Snowydrive тоже использует бэкдор, дроппер которого замаскирован под легитимный исполняемый файл (например, USB Drive.exe). Зловред умеет запускать произвольный пейлоад с помощью командной строки Windows, вносить изменения в системный реестр, работать с файлами и папками.

Цепочка заражения Snowydrive примерно такая же, как у Sogu, но вредоносные компоненты разделены на группы по выполняемым задачам.

 

Домен, в котором расположен C2, вшит в шелл-код зловреда; для обращения к серверу создается уникальный ID. При копировании себя на другие съемные диски Snowydrive создает на каждом папку \Kaspersky\Usb Drive\3.0 и помещает туда свои модули.

Вредоносы, распространяемые через флешки, довольно редки и обычно применяются точечно — например, против АСУ ТП с целью саботажа. К такому методу заражения прибегали также печально известные FIN7 и Silence. Года два назад в интернете объявился новый USB-червь — Raspberry Robin, которого позднее обнаружили на многих производствах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Kaspersky NGFW 1.1 добавили проверку архивов и поддержку GeoIP-политик

Компания представила новую версию своего межсетевого экрана нового поколения Kaspersky NGFW 1.1, добавив в неё функции, повышающие устойчивость работы и уровень защиты от киберугроз. Обновление также включает новые аппаратные платформы.

Среди ключевых изменений — улучшенная отказоустойчивость за счёт синхронизации сессий и маршрутной информации в кластере. Это делает переключение между устройствами практически незаметным и снижает время простоя.

Кроме того, добавлена поддержка протокола BFD (Bidirectional Forwarding Detection) для BGP и OSPF, что ускоряет перенаправление трафика при сбоях в сети.

В антивирусный движок решения добавлена проверка архивов любых форматов, что позволяет эффективнее выявлять угрозы, скрытые внутри файлов.

Ещё одно нововведение — поддержка ICAP-клиента, благодаря чему теперь можно направлять файлы на анализ не только в систему Kaspersky Anti Targeted Attack, но и в сторонние песочницы и DLP-системы.

Появились и новые аппаратные платформы:

  • KX-1000 с производительностью до 100 Гбит/с в режиме L4 FW + Application Control;
  • KX-100-KB1, представляющая собой модификацию модели KX-100 с увеличенным числом гигабитных портов и возможностью установки в стойку.

Среди других изменений — GeoIP-политики, которые позволяют ограничивать трафик из отдельных стран, а также ролевая модель доступа (RBAC) в консоли управления Open Single Management Platform, что даёт возможность разграничивать права пользователей. Кроме того, теперь реализована миграция политик с Fortinet.

Компания также заявила, что до конца 2025 года планирует пройти сертификацию ФСТЭК России для обновлённого решения.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru