FIN7组织通过邮寄恶意U盘来投放勒索软件
美国联邦调查局周五警告说,勒索软件团伙正在邮寄恶意的U盘,冒充美国卫生与公众服务部(HHS)和亚马逊集团,针对运输、保险和国防行业进行勒索软件感染攻击。
联邦调查局在发给各个组织的安全警报中说,FIN7--又名Carbanak或Navigator Group,是使用Carbanak后门恶意软件进行攻击的网络犯罪团伙,其攻击经常以获取经济利益为目的。
FIN7从2015年就已经开始存在了。最初,该团伙通过使用其定制的后门恶意软件来维持对目标公司的持续访问权限,以及使用间谍软件来针对销售点(PoS)系统进行攻击而逐渐为民众所熟知。它的攻击目标往往是休闲餐厅、赌场和酒店。但在2020年,FIN7也开始涉足勒索软件以及游戏领域,其攻击活动经常会使用REvil或Ryuk作为有效攻击载荷。
联邦调查局说,在过去的几个月里,FIN7将恶意的USB设备邮寄给美国公司,希望有人能够把它插到驱动器上,然后利用恶意软件来感染系统,从而为以后的勒索软件攻击做好准备。
联邦调查局在安全警报中说:"自2021年8月以来,联邦调查局收到了几个装有USB设备的包裹,调查也发现运输、保险和国防行业的美国企业也收到了这些快递。”
邮寄的BadUSB设备
联邦调查局补充说:"这些包裹都是通过美国邮政服务和联合包裹服务发送的。”
联邦调查局说,攻击者对这些包裹进行了伪装,把它们伪装成了与大流行病有关的物品,或者伪装成来自亚马逊的商品。包裹主要有两种,那些模仿HHS的包裹通常附有提及COVID-19指南的信件,并附上一个USB;而那些伪装成亚马逊的包裹则会装在一个有装饰性的礼品盒中,其中包含一封具有欺诈性的感谢信、伪造的礼品卡和一个USB。
无论是哪种方式,这些包裹中都装有LilyGO品牌的USB设备。
联邦调查局说,如果目标相信所有了的装饰品,并将其插入到了USB驱动器,这些设备就会进行一次BadUSB攻击。BadUSB攻击是利用了USB固件中的一个固有漏洞,该漏洞能够使攻击者对USB设备进行重新编程,使其能够作为一个人机交互设备,即作为一个预装了自动执行脚本的恶意USB键盘。重新编程后,USB可以被用来在受害者的电脑上执行恶意命令或运行恶意程序。
无论是BadUSB攻击还是FIN7发动的攻击都不是什么新鲜事。2020年,Trustwave SpiderLabs网络安全研究团队最初发现这些恶意USB驱动器被发送到了其中的一些客户手中,这样的恶意设备同样包含在冒充亚马逊和HHS的包裹中。最近发生的一次攻击是2020年的一次攻击,当时联邦调查局同样发布了一个公共警报,并将FIN7列为罪魁祸首。
如何预防BadUSB攻击
你可能会认为,抵御恶意软件攻击的方法肯定是非常简单的,不要把它们插进去就行了。然而,人类的本性就是这样,一项又一项的研究表明,好奇心或利他主义(我要找出这是谁的,这样我就可以把它还回去了)会对人的安全造成伤害并导致系统被接管。
尽管如此,你至少要说服人们克制住他们的好奇心,养成良好的行为习惯。Trustwave SpiderLabs的高级安全研究经理Karl Sigler周一告诉媒体,针对员工的安全意识培训应该包含预防这种类型的攻击的方法,并警告人们不要将任何不熟悉的设备连接到你的电脑上。
他说,端点保护软件也可以帮助防止这些攻击,它可以很好的保证用户的安全性。
Sigler通过电子邮件说:"这些攻击都是由模拟USB键盘的U盘引发的,所以一个能够监控命令执行的端点保护软件应该能够解决大多数问题。”
Sigler补充说,对于那些不需要使用USB配件的重要的系统,使用基于物理和软件的USB端口阻止器也有助于防止这种攻击。
ACA集团则创造了一个缩写词 "CAPs",指的是所有的组织都应该积极监测网络安全,防止勒索软件攻击的发生。CAPs指的是配置、访问和补丁,而员工的安全意识及其他教育也是至关重要的。
进行配置管理 — 这样可以有效减少攻击者用来访问你的系统端口的数量。许多攻击之所以能够成功,是因为安全设备、云配置等方面存在错误的配置。
限制人员访问 - 减少攻击者进入你系统内部的访问点的数量。
及时打补丁 - 减少通过未知的端口进行攻击的机会,这是修复安全漏洞的基础。
本文翻译自:https://threatpost.com/fin7-mailing-malicious-usb-sticks-ransomware/177541/如若转载,请注明原文地址。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Linux领域迎来坏消息 部分2021年恶意软件样本增加10倍
新的一年刚刚开始,遗憾的是Linux平台的用户和爱好者首先要面对的是一条坏消息。根据网络安全公司CrowdStrike发布的一份报告,2021年针对Linux的恶意软件与前一年相比增加了35%。 更具体地说,这里的报告是在讨论针对各种物联网(IoT)和移动设备的Linux恶意软件,以及这些恶意软件中的一些是如何利用物联网产生大规模的僵尸网络,以进行分布式拒绝服务(DDoS)攻击。 报告说,在之前提到的35%的恶意软件增长中,大约22%是由于属于三个家族的物联网特定恶意软件: XorDDoS Mirai Mozi 显然,进展最大的似乎是Mozi,与2020年相比,2021年的恶意样本数量增加了10倍或900%。Mozi僵尸网络利用分布式哈希表(DHT),帮助恶意软件以如此巨大的比例提升其存在感。 虽然没有那么普遍,但XorDDoS的样本数也增加了123%或近2.5倍。 最后,Miral僵尸网络恶意软件的三个变种Sora、IZIH9和Rekai,在2021年分别增加了33%、39%和83%。 了解更多: https://www.crowdstrike.com/blog/linux-targ...
- 下一篇
报告称 2021 年 Linux 的恶意软件样本数量增加了 35%
1 月 16 日消息,新的一年给 Linux 用户和爱好者带来了一些坏消息。根据网络安全公司 CrowdStrike 发布的一份报告,与一年前相比,2021 年的 Linux 恶意软件增加了 35%。 更具体地说,报告称针对各种物联网 (IoT) 和移动设备的 Linux 恶意软件激增,其中一些恶意软件使用物联网来产生大规模的僵尸网络大军以执行分布式拒绝服务 (DDoS) 攻击。 该报告补充称,在前面提到的 35% 的恶意软件增长中,大约 22% 是属于三个家族的物联网特定恶意软件: XorDDoS Mirai Mozi 与 2020 年相比,Mozi 的恶意样本数量在 2021 年增加了 900%,XorDDoS 的样本数量也增加了 123%,Miral 的三个变种 Sora、IZIH9 和 Rekai 在 2021 年分别增加了 33%、39% 和 83%。
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- Linux系统CentOS6、CentOS7手动修改IP地址
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS6,CentOS7官方镜像安装Oracle11G
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS7,CentOS8安装Elasticsearch6.8.6
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作