卡巴斯基发现,一款安全USB驱动器被植入了恶意代码,这些代码被注入到其访问管理软件中。该驱动器由东南亚某政府机构开发,用于在敏感环境中安全地存储和传输文件。注入其中的恶意代码旨在窃取保存在驱动器安全分区中的机密文件,同时作为USB蠕虫传播感染,可扩散到其他同类型的USB驱动器中。
去年,使用UTetris USB管理软件的驱动器同样被入侵,卡巴斯基认为其幕后的威胁行为者为TetrisPhantom。尽管此次的USB驱动器入侵事件所使用的策略与去年的TetrisPhantom相似,但最新事件中植入驱动器的恶意代码是全新的。卡巴斯基在最新的第三季度APT报告中,对此次攻击中使用的木马化USB管理软件进行了分析,并探讨了全球网络犯罪团伙在攻击中使用工具的趋势。
卡巴斯基第三季度APT报告中其他值得关注的发现还包括:
亚洲
· 卡巴斯基发现了一种新的攻击方案,该方案利用了之前用于针对越南组织的P8攻击框架。大多数感染发生在越南的金融机构中,其中一名受害者来自制造业。
亚洲、土耳其、欧洲和俄罗斯
· Awaken Likho是一个APT行动,至少自2021年7月起就开始活跃,主要针对政府组织和承包商。迄今为止,卡巴斯基已在俄罗斯、印度、中国、越南、台湾、土耳其、斯洛伐克、菲律宾、澳大利亚、瑞士和捷克共和国等多个国家和地区发现了超过120个目标。此前攻击者依赖合法的远程管理工具UltraVNC,但在2024年6月发现(仍在进行中)的一次活动中,攻击者将最终有效载荷从UltraVNC更改为MeshAgent(另一个远程管理工具;它使用开源远程管理服务器)。
非洲和亚洲
· Scieron 后门是 Scarab 组织在网络间谍活动中常用的一种工具,在一次针对非洲一个政府实体和中亚一个电信供应商的最新攻击活动中被发现。
中东
· MuddyWater是一个2017年出现的APT组织,传统上针对中东、欧洲和美国进行攻击。最近,卡巴斯基发现了MuddyWater APT组织在入侵中使用的基于VBS/DLL的植入程序,这些植入程序至今仍然活跃。它们被发现在埃及、哈萨克斯坦、科威特、摩洛哥、阿曼、叙利亚和阿联酋的多个政府和电信实体中。
· TropicTrooper(又名KeyBoy和Pirate Panda)是一个自2011年以来一直活跃的APT组织。该组织的目标传统上包括政府实体,以及位于台湾、菲律宾和香港的医疗、交通和高科技行业。卡巴斯基最近的分析显示,2024年,该组织对埃及的一个政府实体进行了攻击。还检测到一个攻击组件,据推测是由说中文的攻击者使用的。
俄罗斯
· 2021年,卡巴斯基检测到一个名为ExCone的活动,该活动利用VLC媒体播放器的漏洞攻击俄罗斯政府机构。随后,受害者也在欧洲、中亚和东南亚被发现。2022年,攻击者开始使用鱼叉式网络钓鱼邮件作为感染媒介,并部署了Pangolin木马的更新版本。2024年7月中旬,攻击者转向嵌入JavaScript加载器作为初始感染媒介,并攻击了俄罗斯的教育机构。
南美洲和亚洲
· 今年6月,卡巴斯基发现了一个被称为PassiveNeuron的活跃的攻击活动,使用此前未知的恶意软件针对拉丁美洲和东亚的政府实体进行攻击。在安装安全产品之前,服务器已被入侵,感染方式仍然未知。此行动中使用的植入物与已知的恶意软件在代码上没有任何相似之处,因此目前无法将其溯源到任何已知的威胁行为者。该活动显示出非常高的复杂性。
“2024年全年,卡巴斯基在全球范围内检测并阻止了30亿次本地威胁。安全USB驱动器上的软件被入侵的情况并不常见,但它强调了一个事实,即受保护的本地数字空间也可能被复杂的手段攻破。网络罪犯不断更新他们的工具集,并扩大其活动的范围,不仅在目标领域上,而且在地理范围上。我们还看到更多开源工具被APT威胁行为者使用,”卡巴斯基首席安全研究员David Emm评论说。
要阅读2024年第三季度APT趋势报告全文,请访问Securelist.
高级持续性威胁(APTs)是一种持续、隐蔽且复杂的黑客技术,旨在获取系统访问权限并在其中长期潜伏,可能带来破坏性后果。APT通常针对高价值目标,如国家政府和大企业,其最终目的是在长时间内窃取信息,而不是像许多黑帽攻击者在低级别网络攻击中那样“短暂潜入”后迅速离开。
为了避免成为针对性攻击的受害者,卡巴斯基研究人员建议个人和企业采取以下措施:
· 为您的 SOC 团队提供对最新威胁情报(TI)的访问。卡巴斯基威胁情报门户网站是卡巴斯基威胁情报的一站式访问点,提供卡巴斯基超过20年来收集的网络攻击数据以及见解。
· 使用由GReAT专家开发的卡巴斯基在线培训课程来提升您的网络安全团队对抗最新针对性威胁的能力。
· 实施企业级安全解决方案,能够在网络层面早期检测高级威胁,例如卡巴斯基反针对性攻击平台。
· 使用集中化和自动化的解决方案,如卡巴斯基Next XDR专家安全,以实现对所有资产的全面保护;
· 由于许多针对性攻击都始于网络钓鱼或其他社交工程技术手段,因此应引入安全意识培训并向团队传授实用技能,例如,通过卡巴斯基自动化安全意识平台来实现。
· 尽快并定期更新操作系统和软件。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
