美国联邦调查局周五警告说,勒索软件团伙正在邮寄恶意的U盘,冒充美国卫生与公众服务部(HHS)和亚马逊集团,针对运输、保险和国防行业进行勒索软件感染攻击。
联邦调查局在发给各个组织的安全警报中说,FIN7--又名Carbanak或Navigator Group,是使用Carbanak后门恶意软件进行攻击的网络犯罪团伙,其攻击经常以获取经济利益为目的。
FIN7从2015年就已经开始存在了。最初,该团伙通过使用其定制的后门恶意软件来维持对目标公司的持续访问权限,以及使用间谍软件来针对销售点(PoS)系统进行攻击而逐渐为民众所熟知。它的攻击目标往往是休闲餐厅、赌场和酒店。但在2020年,FIN7也开始涉足勒索软件以及游戏领域,其攻击活动经常会使用REvil或Ryuk作为有效攻击载荷。
联邦调查局说,在过去的几个月里,FIN7将恶意的USB设备邮寄给美国公司,希望有人能够把它插到驱动器上,然后利用恶意软件来感染系统,从而为以后的勒索软件攻击做好准备。
联邦调查局在安全警报中说:"自2021年8月以来,联邦调查局收到了几个装有USB设备的包裹,调查也发现运输、保险和国防行业的美国企业也收到了这些快递。”
邮寄的BadUSB设备
联邦调查局补充说:"这些包裹都是通过美国邮政服务和联合包裹服务发送的。”
联邦调查局说,攻击者对这些包裹进行了伪装,把它们伪装成了与大流行病有关的物品,或者伪装成来自亚马逊的商品。包裹主要有两种,那些模仿HHS的包裹通常附有提及COVID-19指南的信件,并附上一个USB;而那些伪装成亚马逊的包裹则会装在一个有装饰性的礼品盒中,其中包含一封具有欺诈性的感谢信、伪造的礼品卡和一个USB。
无论是哪种方式,这些包裹中都装有LilyGO品牌的USB设备。
联邦调查局说,如果目标相信所有了的装饰品,并将其插入到了USB驱动器,这些设备就会进行一次BadUSB攻击。BadUSB攻击是利用了USB固件中的一个固有漏洞,该漏洞能够使攻击者对USB设备进行重新编程,使其能够作为一个人机交互设备,即作为一个预装了自动执行脚本的恶意USB键盘。重新编程后,USB可以被用来在受害者的电脑上执行恶意命令或运行恶意程序。
无论是BadUSB攻击还是FIN7发动的攻击都不是什么新鲜事。2020年,Trustwave SpiderLabs网络安全研究团队最初发现这些恶意USB驱动器被发送到了其中的一些客户手中,这样的恶意设备同样包含在冒充亚马逊和HHS的包裹中。最近发生的一次攻击是2020年的一次攻击,当时联邦调查局同样发布了一个公共警报,并将FIN7列为罪魁祸首。
如何预防BadUSB攻击
你可能会认为,抵御恶意软件攻击的方法肯定是非常简单的,不要把它们插进去就行了。然而,人类的本性就是这样,一项又一项的研究表明,好奇心或利他主义(我要找出这是谁的,这样我就可以把它还回去了)会对人的安全造成伤害并导致系统被接管。
尽管如此,你至少要说服人们克制住他们的好奇心,养成良好的行为习惯。Trustwave SpiderLabs的高级安全研究经理Karl Sigler周一告诉媒体,针对员工的安全意识培训应该包含预防这种类型的攻击的方法,并警告人们不要将任何不熟悉的设备连接到你的电脑上。
他说,端点保护软件也可以帮助防止这些攻击,它可以很好的保证用户的安全性。
Sigler通过电子邮件说:"这些攻击都是由模拟USB键盘的U盘引发的,所以一个能够监控命令执行的端点保护软件应该能够解决大多数问题。”
Sigler补充说,对于那些不需要使用USB配件的重要的系统,使用基于物理和软件的USB端口阻止器也有助于防止这种攻击。
ACA集团则创造了一个缩写词 "CAPs",指的是所有的组织都应该积极监测网络安全,防止勒索软件攻击的发生。CAPs指的是配置、访问和补丁,而员工的安全意识及其他教育也是至关重要的。
进行配置管理 — 这样可以有效减少攻击者用来访问你的系统端口的数量。许多攻击之所以能够成功,是因为安全设备、云配置等方面存在错误的配置。
限制人员访问 - 减少攻击者进入你系统内部的访问点的数量。
及时打补丁 - 减少通过未知的端口进行攻击的机会,这是修复安全漏洞的基础。
参考及来源:https://threatpost.com/fin7-mailing-malicious-usb-sticks-ransomware/177541/