Μια νέα εξελιγμένη απειλή που παρακολουθείται ως «TetrisPhantom» χρησιμοποιεί υποβαθμισμένες ασφαλείς μονάδες USB για να στοχεύει κυβερνητικά συστήματα στην περιοχή Ασίας-Ειρηνικού.
Οι ασφαλείς μονάδες USB αποθηκεύουν αρχεία σε ένα κρυπτογραφημένο μέρος της συσκευής και χρησιμοποιούνται για την ασφαλή μεταφορά δεδομένων μεταξύ συστημάτων, συμπεριλαμβανομένων εκείνων σε περιβάλλον με διάκενο αέρα.
Η πρόσβαση στο προστατευμένο διαμέρισμα είναι δυνατή μέσω προσαρμοσμένου λογισμικού που αποκρυπτογραφεί τα περιεχόμενα με βάση έναν κωδικό πρόσβασης που παρέχεται από τον χρήστη. Ένα τέτοιο λογισμικό είναι το UTetris.exe, το οποίο είναι ομαδοποιημένο σε ένα μη κρυπτογραφημένο τμήμα της μονάδας USB.
Ερευνητές ασφαλείας ανακάλυψαν τρωανοποιημένες εκδόσεις της εφαρμογής UTetris που έχουν αναπτυχθεί σε ασφαλείς συσκευές USB σε μια εκστρατεία επίθεσης που εκτελείται για τουλάχιστον μερικά χρόνια και στοχεύει κυβερνήσεις στην περιοχή APAC.
Σύμφωνα με τα νεότερα
Η έκθεση της Kaspersky
στις τάσεις APT, το TetrisPhantom χρησιμοποιεί διάφορα εργαλεία, εντολές και στοιχεία κακόβουλου λογισμικού που υποδεικνύουν μια εξελιγμένη ομάδα απειλών με καλούς πόρους.
«Η επίθεση περιλαμβάνει εξελιγμένα εργαλεία και τεχνικές, συμπεριλαμβανομένης της συσκότισης λογισμικού που βασίζεται σε εικονικοποίηση για στοιχεία κακόβουλου λογισμικού, επικοινωνία χαμηλού επιπέδου με τη μονάδα USB χρησιμοποιώντας άμεσες εντολές SCSI, αυτοαναπαραγωγή μέσω συνδεδεμένων ασφαλών μονάδων USB για μετάδοση σε άλλα συστήματα με διάκενο αέρα και έγχυση του κώδικα σε ένα νόμιμο πρόγραμμα διαχείρισης πρόσβασης στη μονάδα USB που λειτουργεί ως φορτωτής για το κακόβουλο λογισμικό σε ένα νέο μηχάνημα.» – Kaspersky
Λεπτομέρειες επίθεσης
Η Kaspersky μοιράστηκε πρόσθετες λεπτομέρειες με το BleepingComputer, εξηγώντας ότι η επίθεση με την trojanized εφαρμογή Utetris ξεκινά με την εκτέλεση στο μηχάνημα-στόχο ενός ωφέλιμου φορτίου που ονομάζεται AcroShell.
Το AcroShell δημιουργεί μια γραμμή επικοινωνίας με τον διακομιστή εντολών και ελέγχου (C2) του εισβολέα και μπορεί να ανακτήσει και να εκτελέσει πρόσθετα ωφέλιμα φορτία για να κλέψει έγγραφα και ευαίσθητα αρχεία και να συλλέξει συγκεκριμένες λεπτομέρειες σχετικά με τις μονάδες USB που χρησιμοποιούνται από τον στόχο.
Οι φορείς απειλών χρησιμοποιούν επίσης τις πληροφορίες που συλλέγονται με αυτόν τον τρόπο για την έρευνα και την ανάπτυξη ενός άλλου κακόβουλου λογισμικού που ονομάζεται XMKR και του trojanized UTetris.exe.
“Η μονάδα XMKR έχει αναπτυχθεί σε ένα μηχάνημα Windows και είναι υπεύθυνη για την παραβίαση ασφαλών μονάδων USB που είναι συνδεδεμένες στο σύστημα για να εξαπλωθεί η επίθεση σε συστήματα με δυνητικά διάκενο αέρα” – Kaspersky
Οι δυνατότητες του XMKR στη συσκευή περιλαμβάνουν την κλοπή αρχείων για σκοπούς κατασκοπείας και τα δεδομένα εγγράφονται στις μονάδες USB.
Στη συνέχεια, οι πληροφορίες στο παραβιασμένο USB διοχετεύονται στον διακομιστή του εισβολέα όταν η συσκευή αποθήκευσης συνδεθεί σε έναν υπολογιστή συνδεδεμένο στο Διαδίκτυο που έχει μολυνθεί από το AcroShell.
Η Kaspersky ανέκτησε και ανέλυσε δύο κακόβουλες εκτελέσιμες παραλλαγές Utetris, μία που χρησιμοποιήθηκε μεταξύ Σεπτεμβρίου και Οκτωβρίου 2022 (έκδοση 1.0) και άλλη που αναπτύχθηκε σε κυβερνητικά δίκτυα από τον Οκτώβριο του 2022 έως τώρα (έκδοση 2.0).
Η Kaspersky λέει ότι αυτές οι επιθέσεις συνεχίζονται εδώ και τουλάχιστον μερικά χρόνια, με την κατασκοπεία να είναι το επίκεντρο του TetrisPhantom. Οι ερευνητές παρατήρησαν έναν μικρό αριθμό μολύνσεων σε κυβερνητικά δίκτυα, υποδεικνύοντας μια στοχευμένη επιχείρηση.
VIA:
bleepingcomputer.com
