Nieuws
image

UNC4990 besmet slachtoffers via USB-sticks en misbruikt populaire websites

vrijdag 2 februari 2024, 09:30 door Redactie, 3 reacties

Italiaanse gebruikers zijn doelwit van een aanvalscampagne waarbij de aanvallers via USB-sticks systemen besmetten. De aanvallers hosten hierbij hun malafide payload op populaire websites, waaronder Ars Technica, GitHub, GitLab en Vimeo. De aanvalscampagne loopt al zeker sinds 2020 en lijkt financiële winst als belangrijkste motief te hebben.

Hiervoor waarschuwt Mandiant, onderdeel van Google Cloud. Het beveiligingsbedrijf volgt UNC4990, een actor die in belangrijke mate op USB-sticks vertrouwt om systemen van slachtoffers te besmetten. Mandiant benadrukt dat hoewel de aanvallers gebruik maakten van populaire websites, hierbij geen beveiligingsproblemen of misconfiguraties zijn uitgebuit.

De aanval begint door het verspreiden van een geprepareerde USB-stick. Indien de gebruiker deze in zijn systeem steekt, opent een LNK-bestand dat explorer.ps1 uitvoert. Dit bestand downloadt op zijn beurt een JSON-payload van Vimeo of Ars Technica. Eerder maakten de aanvallers gebruik van GitHub voor het hosten van componenten van hun infectieketen. Later zijn de aanvallers echter overgestapt op Vimeo en Ars Technica.

explorer.ps1 voert het malafide JSON-bestand uit en haalt vervolgens een payload op in de vorm van EMPTYSPACE Downloader. Met behulp van EMPTYSPACE kunnen de aanvallers via een command & control-server verdere payloads downloaden naar het geïnfecteerde systeem. Tot slot installeren de aanvallers in veel gevallen de backdoor QUIETBOARD om toegang tot het systeem te verzekeren.

Reacties (3)
Reageer met quote
02-02-2024, 10:02 door Anoniem
Dus na 29 jaar voert Microsoft Windows nog steeds automatisch de inhould van een aangekoppeld uit?
Dat het hier om een powershell script gaat en niet om een binary, maakt het nauwelijks minder erg.
Reageer met quote
02-02-2024, 11:34 door wallum
Door Anoniem: Dus na 29 jaar voert Microsoft Windows nog steeds automatisch de inhould van een aangekoppeld uit?
Dat het hier om een powershell script gaat en niet om een binary, maakt het nauwelijks minder erg.
Nou ja bestanden worden niet meer standaard uitgevoerd, dat hebben ze een tijd geleden gefixt. De gebruiker voert zelf het bestand uit door erop te dubbelklikken, uit het bronartikel:

In all instances of the infection which Mandiant Managed Defense responded to, the infection began with the victim double-clicking a malicious LNK shortcut file on a removable USB device. The naming convention for the LNK file typically consisted of the vendor of the USB device and the storage size in brackets, for example: KINGSTON (32GB).lnk. Mandiant also observed instances where, instead of the vendor name, the drive label was used, for example: D (32GB).lnk.

In addition to this, the icon of the LNK file was set to the Microsoft Windows default icon for drives. This was likely done to entice unsuspecting users to double click the file, ultimately triggering the functionality embedded in the LNK file.
Reageer met quote
02-02-2024, 12:12 door Anoniem
Door wallum: Nou ja bestanden worden niet meer standaard uitgevoerd, dat hebben ze een tijd geleden gefixt. De gebruiker voert zelf het bestand uit door erop te dubbelklikken,
Zolang er geen exploit is waarmee je automatisch code kan uitvoeren op moment van USB aansluiten, ten minste.
Check maar eens met process monitor, want explorer.exe is niet het enige proces dat nieuwe USB sticks verkend...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search