UNC4990 小组已经证明,即使过时的技术仍然非常有效。
UNC4990小组最近在意大利活跃,利用受感染的USB设备进行网络攻击,涉及医疗保健、运输、建筑和物流等多个行业。攻击方式包括通过USB传播恶意软件,使用GitHub、Vimeo和Ars Technica等网站来托管额外的有效负载,并且采用PowerShell从这些站点下载和解密恶意文件。UNC4990的最终目标尚不清楚,但已确定其中一个案例涉及加密货币挖矿,表明可能存在财务动机。
此外,Fortgale和Yoroi的研究人员也记录了类似的恶意活动。感染过程始于受害者启动恶意LNK文件,导致执行远程服务器加载EMPTYSPACE的PowerShell脚本。EMPTYSPACE具有四种风格,分别用Golang、.NET、Node.js和Python编写,用于下载下一阶段的恶意软件,包括QUIETBOARD后门。
QUIETBOARD是一个功能广泛的Python后门,可以执行任意命令、更改加密货币钱包地址和收集系统信息,还可以传播到可移动存储设备并截取屏幕截图。尽管攻击者使用流行网站来托管恶意软件,但这些网站的内容对普通用户并不构成直接威胁。
分析EMPTYSPACE和QUIETBOARD表明,攻击者采用模块化方法开发工具,表现出实验性和适应性。这些事件证明,即使是旧的妥协方法(如分发受感染的USB驱动器)仍然有效,并且内置安全系统通常无法识别它们。这些攻击强调了不断改进网络防御的重要性,只有综合考虑技术、流程和人为因素,才能确保适当的安全级别。
转自安全客,原文链接:https://www.anquanke.com/post/id/293056
暂无评论内容