Аналізуючи атаку програм-вимагачів, підрозділ 42 виявив шкідливу програму PlugX. Цей варіант спочатку ідентифікує всі підключені знімні носії USB, такі як дискети, флеш-накопичувачі або флеш-накопичувачі, а потім заражає всі вставлені носії. Якщо підключити інфікований USB-накопичувач, інфекція негайно поширюється на всі підключені USB-пристрої.
Підрозділ Palo Alto Networks Unit 42 опублікував розслідування інструментів, які команда помітила у відповідь на атаку програм-вимагачів хакерської групи Black Basta. Під час розслідування Palo Alto Networks виявила кілька цікавих інструментів на машинах жертв, зокрема: зловмисне програмне забезпечення GootLoader, інструмент Brute Ratel C4 red teaming і старіший зразок шкідливого програмного забезпечення PlugX.
Зловмисне програмне забезпечення заражає всі носії USB
Зловмисне програмне забезпечення PlugX особливо привернуло увагу Unit 42, оскільки цей варіант заражає будь-які підключені знімні носії USB, такі як дискети, флеш-накопичувачі або флеш-накопичувачі, а також будь-яку іншу систему, до якої пізніше підключається USB-пристрій.
Це зловмисне програмне забезпечення PlugX також приховує файли зловмисників на USB-пристрої, використовуючи нову техніку, яка працює навіть на найновіших операційних системах (ОС) Windows на момент написання цієї публікації. Це означає, що шкідливі файли можна переглядати лише в Unix-подібній (*nix) операційній системі або підключивши USB-пристрій до криміналістичного інструменту.
Новий варіант приховує заражені файли Office
Крім того, Unit 42 виявив подібний варіант PlugX у VirusTotal з додатковою можливістю копіювати всі документи Adobe PDF і Microsoft Word із зараженого хоста в приховану папку USB-пристрою, створену шкідливою програмою PlugX. Виявлення цих зразків показує, що, принаймні для деяких технічно підкованих зловмисників, PlugX все ще розвивається – і що він залишається активною загрозою.
Зловмисне програмне забезпечення PlugX існує вже більше десяти років і в минулому його зазвичай асоціювали з китайськими групами APT. Протягом багатьох років інші групи зловмисників прийняли та розгорнули це зловмисне програмне забезпечення, від національних держав до учасників програм-вимагачів.
Висновки розслідування
- Цей варіант PlugX заражає USB-пристрої таким чином, що ховається від файлової системи Windows. Користувач не знатиме, що його USB-пристрій заражений і може використовуватися для викрадання даних із мережі.
- Варіант зловмисного програмного забезпечення PlugX, який використовується в цій атаці, заражає будь-які під’єднані знімні носії USB, такі як дискети, флеш-накопичувачі або флеш-накопичувачі, а також будь-які додаткові системи, до яких пізніше підключається USB-пристрій.
- Модуль 42 виявив подібний варіант PlugX у VirusTotal, який заражає USB-пристрої та копіює всі файли Adobe PDF і Microsoft Word із хоста. Ці копії зберігаються в прихованій папці на USB-пристрої, створеному шкідливою програмою.
- PlugX — це імплант другого етапу, який використовується не лише деякими групами китайського походження, а й кількома групами кіберзлочинців. Він існує вже більше десяти років і був помічений у деяких резонансних кібератаках, включаючи вторгнення в Управління управління персоналом (OPM) уряду США в 2015 році.
- Будь-який хост, заражений цим варіантом шкідливого ПЗ PlugX, постійно шукає нові знімні USB-накопичувачі для зараження. Це зловмисне програмне забезпечення PlugX також приховує файли зловмисників у USB-пристрої за допомогою нової техніки, яка гарантує, що шкідливі файли можна буде переглянути лише в операційній системі *nix або підключивши USB-пристрій до криміналістичного інструменту. Ця здатність уникати виявлення дозволяє шкідливому ПЗ PlugX поширюватися далі та потенційно проникати в мережі, які прослуховуються.
- Brute Ratel C4, використаний у цьому випадку, є тим самим корисним навантаженням (імплантатом) Badger, про який раніше повідомляла Trend Micro, який також впливає на групу програм-вимагачів Black Basta.
Про Palo Alto Networks Palo Alto Networks, світовий лідер у сфері рішень для кібербезпеки, формує хмарне майбутнє за допомогою технологій, які змінюють спосіб роботи людей і компаній. Наша місія — бути кращим партнером із кібербезпеки та захищати наш цифровий спосіб життя. Ми допомагаємо вам вирішувати найбільші світові виклики безпеки за допомогою безперервних інновацій, використовуючи останні досягнення в області штучного інтелекту, аналітики, автоматизації та оркестровки. Пропонуючи інтегровану платформу та надаючи можливості зростаючій екосистемі партнерів, ми є лідерами у захисті десятків тисяч компаній у хмарах, мережах і мобільних пристроях. Наше бачення — це світ, у якому кожен день безпечніший за попередній.