Un gruppo di cyber criminali con obiettivi noto come UNC4990 sta sfruttando i dispositivi USB come armi come vettore di infezione iniziale per prendere di mira le imprese in Italia.
Diversi settori colpiti
Mandiant, società di proprietà di Google, ha affermato che gli attacchi colpiscono diversi settori, tra cui sanità, trasporti, edilizia e logistica.
“Le operazioni UNC4990 generalmente comportano un’infezione USB diffusa seguita dall’implementazione del downloader Emptyspace“, ha affermato la società in un rapporto di martedì 30 gennaio.
Come si propaga l’infezione
“Durante queste operazioni, il cluster si affida a siti Web di terze parti come GitHub, Vimeo e Ars Technica per ospitare fasi aggiuntive codificate, che scarica e decodifica tramite PowerShell nelle prime fasi della catena di esecuzione.”
Si valuta che l’UNC4990, attivo dalla fine del 2020, operi fuori dall’Italia sulla base dell’uso estensivo delle infrastrutture italiane per scopi di command-and-control (C2).
L’infezione inizia quando una vittima fa doppio clic su un file di collegamento LNK dannoso su un dispositivo USB rimovibile, portando all’esecuzione di uno script PowerShell responsabile del download di Emptyspace (aka BrokerLoader o Vetta Loader) da un server remoto tramite un altro script PowerShell intermedio ospitato su Vimeo.
Non è del tutto chiaro il fine
Al momento non è noto se l’UNC4990 funzioni solo come facilitatore di accesso iniziale per altri attori. Inoltre l’obiettivo finale dell’autore della minaccia non è chiaro, anche se qualcuno sostiene che un minatore di criptovaluta open source sia stato implementato dopo mesi di attività di beaconing.
Utilizzo di siti popolari per ospitare pezzi di codice dannoso
Un aspetto degno di nota di questa fase è l’utilizzo di siti popolari come Ars Technica, GitHub, GitLab e Vimeo per ospitare il payload dannoso.
“Il contenuto ospitato su questi servizi non presentava alcun rischio diretto per gli utenti quotidiani di questi servizi, poiché il contenuto ospitato in isolamento era completamente benigno“, hanno affermato i ricercatori di Mandiant. “Chiunque abbia inavvertitamente cliccato o visualizzato questo contenuto in passato non correva il rischio di essere compromesso.”
Cosa può fare?
Il codice è basato su Phyton, con un’ampia gamma di funzionalità che gli consentono di eseguire comandi arbitrari, alterare gli indirizzi dei portafogli crittografici copiati negli appunti per reindirizzare i trasferimenti di fondi ai portafogli sotto il loro controllo, propagare il malware su unità rimovibili, acquisire screenshot e raccogliere informazioni sul sistema.
Inoltre, la backdoor è in grado di espandersi modularmente ed eseguire moduli Python indipendenti come i cryptominers, nonché di recuperare ed eseguire dinamicamente il codice Python dal server C2.
Come difendersi da questo attacco via USB
Come prima cosa, non utilizzare più chiavette USB, molte aziende come policy – al di là di questo tipo di attacco – non consentono più l’utilizzo di chiavette USB.
Inoltre, è bene affidarsi a società di cyber security che possono rilevare eventuali infezioni ed esecuzioni di codice dannoso grazie a strumenti di monitoraggio evoluti ed automatizzati, utilizzati da cyber security analyst, andando a isolare il problema (e prevenendolo).
Infine, un ruolo fondamentale è svolto dalla formazione del personale dipendente, che – causa mancata consapevolezza – spesso è la principale (nonché inconsapevole) porta di accesso di un hacker a causa di comportamenti imprudenti.
Ti è piaciuto l’articolo? Contatta Noi Sicurezza per consigli in materia di cyber security: