Opis ataku na firmy z wykorzystaniem pendrive, GitHub i portalu Ars Technica

2 lutego, 2024

Badacze z firmy Mandiant należącej od września 2022 roku do Google opisali dość interesującą i jednocześnie trywialną formułę ataku. Osoba lub grupa, nazwana jako UNC4990, korzystała z przygotowanych przez siebie nośników USB oraz infrastruktury powszechnie znanych serwisów internetowych w celu przeprowadzenia właściwej infekcji docelowych hostów. Współcześnie powodem zdecydowanej większości ataków są motywacje finansowe i tak było również w tym przypadku.

Ataki zostały zaobserwowane na terenie Włoch i obejmowały przedsiębiorstwa z branży medycznej, transportowej, budowlanej oraz logistycznej.

Skuteczność infekcji stanowi potwierdzenie, że kwestie zabezpieczeń, dobrych praktyk i szkolenia pracowników w firmach spoza wybranych branż wciąż mogą nie być na wystarczającym poziomie.

Skondensowany schemat ataku przedstawia poniższa grafika.

atak na firmy z wykorzystaniem usb
Źródło: www.mandiant.com

Nie podano sposobu, w jaki ofiary weszły w posiadanie nośników USB. Specyfika pracy wymienionych branż pozwala jednak podejrzewać, że dyski zostały po prostu przekazane pracownikowi lub ewentualnie „podrzucone” w okolicy biura.

Jeśli do infekcji doszło w efekcie podłączenia i uruchomienia pliku z nośnika z drugiego sposobu, to niestety osobą odpowiedzialną za infekcję jest pracownik. Podłączanie znalezionych w losowym miejscu pendrive’ów stanowi naruszenie pewnych reguł bezpieczeństwa. Natomiast jeśli takowe działanie było standardowym krokiem (np. „klient” miał na dysku zapisany projekt domu) związanym z realizacją pracy, to problemem jest konfiguracja zabezpieczeń i firmowa polityka w zakresie bezpieczeństwa IT.

 

Jak dochodziło do zainfekowania systemów firmy?

Na dysku zapisywany był plik LNK (format skrótu w systemach Windows), który po uruchomieniu wykonywał skrypt PowerShell o nazwie explorer.ps1. Badacze podają, że ten plik pojawiał się w kilku odmianach, których zawartość w późniejszych wersjach była zakodowana w Base64. Wczesne wersje posiadały warunek sprawdzający, czy na dysku istnieje katalog z nazwą zawierającą znak Hangul Filler, a inne zapisywały w folderze %AppData% plik z wygenerowanym UUID danego hosta.

Ciekawsza różnica dotyczy jednak źródła pobierania kolejnych plików. Pierwotnie był to włoski serwis Altervista pozwalający na założenie własnego bloga (opartego na systemie WordPress), natomiast w kolejnych iteracjach skrypt pobierał plik src.txt z serwisów GitHub lub GitLab, a w jeszcze kolejnych payload z Vimeo i Ars Technika (serwis odniósł się do publikacji Mandiant), który zawarty był odpowiednio w opisie filmu i w odnośniku do zdjęcia z sekcji About użytkownika portalu.

Zawartość wspomnianego pliku tekstowego była używana do wygenerowania innych adresów URL (różnych w zależności od wersji skryptu explorer.ps1), z których ostatecznie pobierany był właściwy downloader EMPTYSPACE. Atakujący sprytnie doprowadził do sytuacji praktycznie bezpłatnego hostowania plików używanych w tym ataku. Wszystkie wymienione serwisy umożliwiają założenie darmowych kont, a domena pierwszego generowanego adresu URL to TK, którą również można zarejestrować bezpłatnie.

Warianty EMPTYSPACE były napisane z użyciem różnych języków programowania: Node.js, .NET, Python i Go. Zgodnie z opisem występowały pomiędzy nimi pewne różnice w zakresie działania, natomiast wspólnym efektem ich użycia było pobranie i uruchomienie kolejnego złośliwego oprogramowania, w tym koperek kryptowalut.

Atak miał przestarzałą formułę, ponieważ malware było rozprowadzane z użyciem dysków USB. Najlepiej oczywiście w żadnym wypadku nie korzystać z zewnętrznych dysków pochodzących z niezaufanych źródeł, natomiast nie zawsze jest taka możliwość. Można jednak ograniczyć ryzyko poprzez przeznaczenie wybranego hosta (bez dostępu do sieci firmowej) wyłącznie do obsługi nośników spoza organizacji. Wcześniej wystarczy przygotować obraz dysku i regularnie go przywracać.

Michał Giza

Michał Giza

Autor tekstów na portalu Fundacji AVLab dla Cyberbezpieczeństwa. Administrator systemów Linux i Windows Server. Zajmuje się także bezpieczeństwem sieci.
Michał Giza

Michał Giza

Autor tekstów na portalu Fundacji AVLab dla Cyberbezpieczeństwa. Administrator systemów Linux i Windows Server. Zajmuje się także bezpieczeństwem sieci.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]