Cycldek APT使用USBCulprit间谍软件对气密系统的攻击
2020-07-05 10:20:00 Author: www.4hou.com(查看原文) 阅读量:477 收藏

卡巴斯基(Kaspersky)最新研究结果显示,一名攻击者开发出新的功能来攻击气密系统,以窃取敏感数据进行间谍活动。

APT被称为Cycldek,Goblin Panda或Conimes,它使用广泛的工具集在受害者网络中进行横向移动和信息窃取,包括以前未报告的定制工具,策略和程序,用于攻击越南,泰国和老挝的政府机构。

“其中一个新发现的工具,被命名为USBCulprit,并已发现以依靠USB介质exfiltrate的攻击数据,这可能表明Cycldek正在尝试到达受害环境中的网络。

Cycldek最早在2013年被CrowdStrike观察到,在利用已知漏洞(例如CVE-2012-0158,CVE-2017-11882)诱骗文件中,对东南亚(尤其是越南)的国防,能源和政府部门在长期潜伏渗透。 ,CVE-2018-0802中删除了NewCore RAT恶意软件。

卡巴斯基对NewCore的分析显示,围绕两个活动集群,存在两个不同的变体(分别称为BlueCore和RedCore),它们在代码和基础结构方面相似,但还包含RedCore独有的功能-即键盘记录程序和RDP记录程序,可捕获有关以下内容的详细信息用户通过RDP连接到系统。

研究人员说:“每类活动都有不同的地理重点地区。” “ BlueCore集群背后的运营商将大部分精力投入到了越南目标上,并在老挝和泰国设立了多个基地,而RedCore集群的运营商开始时则侧重于越南,并于2018年底转移到了老挝。”

反过来,BlueCore和RedCore植入载荷都下载了各种其他工具,以促进横向移动(HDoor)并从受感染的系统中提取信息(JsonCookies和ChromePass)。

其中最主要的是一种称为USBCulprit的恶意软件,它能够扫描多个路径,并收集具有特定扩展名的文档(* .pdf; *。doc; *。wps; * docx; * ppt; *。xls; *。xlsx; * .pptx; *。rtf),并将其导出到连接的USB驱动器。

而且,该恶意软件经过编程,可以选择性地将自身复制到某些可移动驱动器,这样,每次将受感染的USB驱动器插入另一台计算机时,该恶意软件就可以横向移动到其他具有空隙的系统。

初始感染机制依赖于利用恶意二进制文件模仿合法的防病毒组件,以在进行相关信息收集之前以DLL搜索顺序劫持的方式加载USBCulprit,然后以加密的RAR存档的形式保存该信息并将其泄漏到连接的可移动设备。

研究人员说:“恶意软件的特征可能会引起关于其目的和用例的多种假设,其中之一就是从气隙机器中获取数据并获取数据。” “这将解释恶意软件中没有任何网络通信,并且仅使用可移动媒体作为传输入站和出站数据的一种方式。”

最终,这两种恶意软件之间的相似之处和不同之处表明,组织背后的参与者共享代码和基础结构,同时在一个较大的实体下作为两个不同的分支机构运行,这一事实表明了这一点。

尽管对其活动还不是非常了解,但工具范围和运作时间跨度表明,该组织在东南亚备受关注的目标网络中拥有广泛的立足点。

初始感染机制依赖于利用恶意二进制文件模仿合法的防病毒组件,以在进行相关信息收集之前

以所谓的DLL搜索顺序劫持的方式加载USBCulprit,然后以加密的RAR存档的形式保存该信息并将其泄漏到连接的可移动设备。

研究人员说:“恶意软件的特征可能会引起关于其目的和用例的多种假设,其中之一就是从气隙机器中获取数据并获取数据。” “这将解释恶意软件中没有任何网络通信,并且仅使用可移动媒体作为传输入站和出站数据的一种方式。”

最终,这两种恶意软件之间的相似之处和不同之处表明,组织背后的参与者共享代码和基础结构,同时在一个较大的实体下作为两个不同的分支机构运行,这一事实表明了这一点。

卡巴斯基总结说:“ Cycldek是一个演员的榜样,他的表演能力比公众想象的要广。” “尽管人们对其活动的最广为人知的印象是边缘组织的能力不及标准,但工具范围和运作时间跨度表明,该组织在东南亚备受关注的目标网络中拥有广泛的立足点。”

本文翻译自:https://thehackernews.com/2020/06/air-gap-malware-usbculprit.html如若转载,请注明原文地址:


文章来源: https://www.4hou.com/posts/0OA3
如有侵权请联系:admin#unsafe.sh