USB maliciosas dirigidas a objetivos globales con malware SOGU y SNOWYDRIVE

Los ataques cibernéticos que utilizan unidades de infección USB infectadas como vector de acceso inicial han sido testigos de un aumento de tres veces en la primera mitad de 2023.

Eso es según los nuevos hallazgos de Mandiant, que detallan dos campañas de este tipo, SOGU y SNOWYDRIVE, dirigidas a entidades del sector público y privado en todo el mundo.

SOGU es el "ataque de ciberespionaje basado en USB más frecuente que utiliza unidades flash USB y una de las campañas de ciberespionaje más agresivas dirigidas a organizaciones del sector público y privado a nivel mundial en todas las verticales de la industria", dijo la firma de inteligencia de amenazas propiedad de Google.

La actividad se ha atribuido a un clúster con sede en China llamado TEMP. Hex, que también se rastrea bajo los nombres de Camaro Dragon, Earth Preta y Mustang Panda. Los objetivos incluyen construcción e ingeniería, servicios empresariales, gobierno, salud, transporte y venta minorista en Europa, Asia y los Estados Unidos.

La cadena de infección detallada por Mandiant exhibe similitudes tácticas con otra campaña de Mustang Panda descubierta por Check Point, que eliminó una cepa de malware autopropagante llamado WispRider que se propaga a través de unidades USB comprometidas y potencialmente viola los sistemas con espacio de aire.

Todo comienza con una unidad flash USB maliciosa conectada a una computadora, lo que lleva a la ejecución de PlugX (también conocido como Korplug), que luego descifra y lanza una puerta trasera basada en C llamada SOGU que filtra archivos de interés, pulsaciones de teclas y capturas de pantalla.


SNOWYDRIVE apunta a organizaciones de petróleo y gas en Asia

El segundo clúster para aprovechar el mecanismo de infiltración USB es UNC4698, que ha seleccionado a organizaciones de petróleo y gas en Asia para entregar el malware SNOWYDRIVE para ejecutar cargas útiles arbitrarias en los sistemas pirateados.

"Una vez que se carga SNOWYDRIVE, crea una puerta trasera en el sistema host, dando a los atacantes la capacidad de emitir comandos del sistema de forma remota", dijeron los investigadores de Mandiant Rommel Joven y Ng Choon Kiat. "También se propaga a otras unidades flash USB y se propaga a través de la red".

En estos ataques, la víctima es atraída a hacer clic en un archivo con trampas explosivas que se hace pasar por un ejecutable legítimo, activando así una cadena de acciones maliciosas, comenzando con un gotero que establece un punto de apoyo, seguido de la ejecución del implante SNOWYDRIVE.

Algunas de las funcionalidades de la puerta trasera consisten en realizar búsquedas de archivos y directorios, cargar y descargar archivos y lanzar un shell inverso.

"Las organizaciones deben priorizar la implementación de restricciones en el acceso a dispositivos externos como las unidades USB", dijeron los investigadores. "Si esto no es posible, al menos deberían escanear estos dispositivos en busca de archivos o códigos maliciosos antes de conectarlos a sus redes internas".

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta