За полгода число атак через USB-устройства возросло в три раза

За полгода число атак через USB-устройства возросло в три раза

За полгода число атак через USB-устройства возросло в три раза

В период с января по июнь Mandian зафиксировала трехкратный рост количества атак, использующих зараженные флешки для кражи данных. Большинство инцидентов связано с несколькими шпионскими операциями, затронувшими госструктуры и частный сектор.

Две активные USB-кампании эксперты подробно разобрали в своем блоге. Одну из них, условно названную Sogu, они приписали прокитайской группировке TEMP.HEX. Автором другой, Snowydrive, по всей видимости, является UNC4698, интересующаяся секретами азиатской нефтянки.

Вредонос, распространяемый через USB-устройства в рамках Sogu, более агрессивен. Заражения выявлены во многих странах и в разных вертикалях:

 

Начальный пейлоад (троян PlugX, он же Korplug) загружает в память шелл-код по методу подмены DLL — написанный на C бэкдор, который в Mandian отслеживают под именем Sogu. Вредонос обеспечивает себе постоянное присутствие с помощью ключа Run и планировщика задач Windows, а затем помещает в корзину (папку Recycle Bin) командный файл, помогающий отыскать в системе документы, которые могут содержать ценные данные.

Найденные файлы копируются в два места: на диск C:\ и в рабочую папку на флешке; содержимое кодируется по base64. Вывод на C2-сервер осуществляется по TCP или UDP с использованием HTTP(S)-запросов.

 

Бэкдор Sogu также умеет выполнять команды, запускать на исполнение файлы, открывать удаленный доступ к рабочему столу, создавать обратный шелл, регистрировать клавиатурный ввод, делать скриншоты. Вредоносная полезная нагрузка может автоматически копироваться на все съемные диски, подключаемые к зараженной системе.

Кампания Snowydrive тоже использует бэкдор, дроппер которого замаскирован под легитимный исполняемый файл (например, USB Drive.exe). Зловред умеет запускать произвольный пейлоад с помощью командной строки Windows, вносить изменения в системный реестр, работать с файлами и папками.

Цепочка заражения Snowydrive примерно такая же, как у Sogu, но вредоносные компоненты разделены на группы по выполняемым задачам.

 

Домен, в котором расположен C2, вшит в шелл-код зловреда; для обращения к серверу создается уникальный ID. При копировании себя на другие съемные диски Snowydrive создает на каждом папку \Kaspersky\Usb Drive\3.0 и помещает туда свои модули.

Вредоносы, распространяемые через флешки, довольно редки и обычно применяются точечно — например, против АСУ ТП с целью саботажа. К такому методу заражения прибегали также печально известные FIN7 и Silence. Года два назад в интернете объявился новый USB-червь — Raspberry Robin, которого позднее обнаружили на многих производствах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Плохо закрытая уязвимость в Apache Tomcat грозит захватом сервера

Участники проектов Apache Software Foundation перевыпустили патч к недавно закрытой в Tomcat уязвимости RCE, так как прежний оказался неполным. Обновления вышли в ветках 9.0, 10.1 и 11.0; их рекомендуется установить с поправкой на версию Java.

Проблема, возникшая в серверном софте из-за дефектного патча от 17 декабря, зарегистрирована как CVE-2024-56337. Уязвимости, которую так неудачно закрыли, был присвоен идентификатор CVE-2024-50379; степень угрозы оценена по CVSS в 9,8 балла.

Обе классифицируются как состояние гонки вида Time-of-Check Time-of-Use (TOCTOU). Согласно бюллетеню, подобная ошибка может возникнуть при работе в системе, не учитывающей регистр символов в именах файлов, где также включена запись для дефолтного сервлета Tomcat.

Эксплойт позволяет обойти защиту и загрузить на сервер вредоносные файлы с целью захвата контроля над системой.

Доработанный патч включен в состав сборок Tomcat 9.0.98, 10.1.34 и 11.0.2. Помимо установки апдейта пользователям придется внести изменения в настройки в соответствии с используемой версией Java:

  • Java 8 или 11 — выставить значение «false» для системного свойства sun.io.useCanonCaches (по умолчанию «true»);
  • Java 17 — вернуть sun.io.useCanonCaches в дефолтное значение «false» (если оно менялось);
  • Java 21 и выше — все оставить как есть (изменения не потребуются).
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru