Trong sáu tháng đầu năm 2023, các chuyên gia an ninh mạng của hãng bảo mật Mandiant (Mỹ) đã theo dõi và cảnh báo số vụ tấn công mã độc sử dụng ổ USB là thiết bị trung gian để đánh cắp dữ liệu người dùng tăng gấp ba lần. Các chuyên gia nhận định sự gia tăng này có khả năng đến từ các chiến dịch tấn công với quy mô lớn trên phạm vi toàn cầu và có ảnh hưởng đối với các doanh nghiệp và cơ quan chính phủ.
Qua việc theo dõi, các chuyên gia phát hiện 2 chiến dịch gián điệp mạng lớn diễn ra gần đây. Thứ nhất là chiến dịch lây lan mã độc SOGU được cho là của nhóm APT TEMP.Hex (hay còn được gọi với các tên như Mustang Panda, HoneyMyte, TA416…). Đây được coi là cuộc tấn công gián điệp mạng điển hình dựa trên USB, với mục tiêu thu thập thông tin tình báo trong các lĩnh vực công nghiệp, xây dựng, y tế, vận tải, năng lượng… tại Châu Âu, Châu Á và Mỹ. Thứ hai là chiến dịch lây lan mã độc SNOWYDRIVE được cho là của nhóm APT UNC4698 với mục tiêu nhắm đến là các công ty, tập đoàn dầu mỏ của Châu Á.
Các khu vực bị lây nhiễm mã độc của nhóm TMP.Hex và các lĩnh vực bị ảnh hưởng.
Mã độc SOGU lây lan nhanh chóng và mạnh mẽ thông qua các thiết bị USB và đã được xuất hiện ở nhiều quốc gia theo nhiều lĩnh vực. Thông qua kỹ thuật DLL hijacking mã độc SOGU khi được kích hoạt sẽ tải phần mềm độc hại KORPLUG vào bộ nhớ, đồng thời tạo ra các tệp lây nhiễm tại các vị trí khác nhau:
Vị trí và các tệp độc hại được lưu trữ
Sau đó, phần mềm độc hại tìm kiếm trên ổ C máy tính nạn nhân các tệp có định dạng: *.doc,*.docx , *.ppt , *.pptx , *.xls , *.xlsx và *.pdf và mã hóa một bản sao của mỗi tệp, mã hóa tên tệp gốc bằng Base64 và lưu các tệp được mã hóa vào các thư mục: C:\Users\<user>\AppData\Roaming\Intel\<SOGU CLSID>\<tên tệp trong Base64> và <drive>:\RECYCLER.BIN\<SOGU CLSID>\<tên tệp trong Base64>.
Phần mềm độc hại SOGU cũng có thể thực thi nhiều lệnh khác nhau thông qua máy chủ điều khiển: truyền tệp tin, mở quyền truy cập máy tính từ xa, chụp ảnh màn hình, ghi nhật ký bàn phím… Để tăng phạm vi lây nhiễm, mã độc SOGU tự sao chép vào tất cả các ổ đĩa di động mới được kết nối với máy tính bị nhiễm để từ đó lây lan sang các máy tính thuộc hệ thống khác.
Chiến dịch SNOWYDRIVE cũng sử dụng một Trojan được ngụy trang thành một tệp thực thi hợp pháp (ví dụ: USB Drive.exe). Chuỗi lây nhiễm của SNOWYDRIVE gần giống với chuỗi lây nhiễm của SOGU nhưng các thành phần độc hại được chia thành các nhóm tùy theo nhiệm vụ mà chúng thực hiện.
Các thành phần và chuỗi thực thi của chiến dịch SNOWYDRIVE
Phần mềm độc hại SNOWYDRIVE lây lan thông qua việc tự sao chép vào ổ đĩa USB khi chúng được kết nối với hệ thống bị nhiễm. Phần mềm độc hại này tạo thư mục “<drive_root>\Kaspersky\Usb Drive\3.0” trên ổ đĩa di động và sao chép các tệp được mã hóa có chứa các thành phần độc hại. Một tệp thực thi được trích xuất từ tệp “aweu23jj46jm7dc” và được ghi vào <drive_root>\<volume_name> .exe, chịu trách nhiệm giải nén và thực thi nội dung của các tệp được mã hóa.
Các chuyên gia an ninh mạng của Mandiant xác định các cửa hàng in ấn và dịch vụ khách sạn lưu trú tại địa phương là những điểm nóng tiềm tàng cho sự lây nhiễm. Phần mềm độc hại lây lan qua các thiết bị USB thường được nhắm mục tiêu cụ thể, như các hệ thống điều khiển công nghiệp, các hệ thống thông tin nội bộ, hoạt động offline…. Trước đây nhóm APT FIN7 ”khét tiếng” và SILENT cũng đã sử dụng phương pháp tấn công lây nhiễm này.