以钓鱼邮件攻击企业着称的FIN7APT组织正在对企业网络发起新一轮攻击。该集团部署了一种新策略,通过美国邮政服务(USPS)向目标公司的人力资源(HR)、信息技术(IT)或执行管理(EM)部门的员工邮寄包裹。这些包裹通常包含USB设备、礼品卡等。当员工将USB设备插入计算机时,会注入一条命令来下载并执行GRIFFON跟踪的JavaScript后门。Trustwave的攻击案例专家分析了其中一次攻击。这家网络安全公司的一位客户在邮件中收到了据信是百思买发给其忠实客户的50美元礼品卡。还包括一个看似无害的USB驱动器,声称包含一个项目列表。这些包裹被发送到各种企业,包括零售、餐馆、酒店。武器化的USB设备模仿用户击键来启动PowerShell命令以从远程服务器检索恶意软件。专家观察到恶意代码联系位于俄罗斯的域和IP地址。事实上,攻击者很容易找到像Arduino这样的开发板,将其配置为模拟键盘等人机接口设备(HID),并启动一组预配置的击键以加载和执行任何类型的恶意软件。在分析过程中,研究人员检查了驱动器中的序列号等字样。在PCB驱动器的顶部,可以看到“HW-374”。快速谷歌搜索发现“BadubLeonardoUSBATMag32U4”在shopee.tw上出售。此USB设备使用Arduino微控制器ATMEGA32U4,并被编程为模拟USB键盘。由于PC默认信任键盘USB设备,一旦插入,键盘模拟器会自动插入恶意命令。Powershell脚本然后运行第三阶段的JavaScript,该JavaScript收集系统信息并投放其他恶意软件。根据FBI的警告,一旦收集到目标的信息,FIN7集团便开始横向移动以获得管理权限。收集到的信息发送到C&C服务器后。主要Jscript代码进入无限循环,每次循环迭代休眠2分钟,然后从命令和控件中获取新命令。总之,一旦USB控制器芯片被重新编程用于其他目的(例如模拟USB键盘),这些设备就可以用来发起攻击并在用户不知情的情况下感染用户的计算机。再加上这些设备价格低廉且任何人都可以轻松获得,这也意味着攻击者在野外利用这些技术和设备只是时间问题。可能很快,攻击者将从简单的USB闪存驱动器转移到更高级的攻击场景,例如USB数据线(如#USBsamurai或#EvilCrow)。攻击者在其中使用“恶意植入”可以进行BADUSB类型的攻击。另一个例子是嵌入在鼠标或USB风扇中的“WHID??elite”……
