意大利黑客利用 USB 设备进行网络攻击

UNC4990 小组已经证明，即使过时的技术仍然非常有效。

UNC4990小组最近在意大利活跃，利用受感染的USB设备进行网络攻击，涉及医疗保健、运输、建筑和物流等多个行业。攻击方式包括通过USB传播恶意软件，使用GitHub、Vimeo和Ars Technica等网站来托管额外的有效负载，并且采用PowerShell从这些站点下载和解密恶意文件。UNC4990的最终目标尚不清楚，但已确定其中一个案例涉及加密货币挖矿，表明可能存在财务动机。

此外，Fortgale和Yoroi的研究人员也记录了类似的恶意活动。感染过程始于受害者启动恶意LNK文件，导致执行远程服务器加载EMPTYSPACE的PowerShell脚本。EMPTYSPACE具有四种风格，分别用Golang、.NET、Node.js和Python编写，用于下载下一阶段的恶意软件，包括QUIETBOARD后门。

QUIETBOARD是一个功能广泛的Python后门，可以执行任意命令、更改加密货币钱包地址和收集系统信息，还可以传播到可移动存储设备并截取屏幕截图。尽管攻击者使用流行网站来托管恶意软件，但这些网站的内容对普通用户并不构成直接威胁。

分析EMPTYSPACE和QUIETBOARD表明，攻击者采用模块化方法开发工具，表现出实验性和适应性。这些事件证明，即使是旧的妥协方法（如分发受感染的USB驱动器）仍然有效，并且内置安全系统通常无法识别它们。这些攻击强调了不断改进网络防御的重要性，只有综合考虑技术、流程和人为因素，才能确保适当的安全级别。

转自安全客，原文链接：https://www.anquanke.com/post/id/293056