Los ciberataques que utilizan unidades USB infectadas como vector de acceso inicial se han multiplicado por tres en el primer semestre de 2023. Así se desprende de los nuevos hallazgos de Mandiant, que detalla dos campañas de este tipo – SOGU y SNOWYDRIVE – dirigidas tanto a entidades del sector público como privado en todo el mundo.
SOGU es el “ataque de ciberespionaje basado en USB más frecuente que utiliza memorias USB y una de las campañas de ciberespionaje más agresivas dirigidas a organizaciones del sector público y privado de todo el mundo en todos los sectores verticales”, afirma la empresa de inteligencia sobre amenazas propiedad de Google.
La actividad se ha atribuido a un clúster con sede en China denominado TEMP.Hex, que también se rastrea bajo los nombres de Camaro Dragon, Earth Preta y Mustang Panda. Entre los objetivos se encuentran los sectores de la construcción y la ingeniería, los servicios empresariales, la administración pública, la sanidad, el transporte y el comercio minorista en Europa, Asia y Estados Unidos.
La cadena de infección detallada por Mandiant presenta similitudes tácticas con otra campaña de Mustang Panda descubierta por Check Point, que sacó a la luz una cepa de malware autopropagable llamada WispRider que se propaga a través de unidades USB comprometidas y puede vulnerar sistemas protegidos por aire.
Todo comienza con una unidad flash USB maliciosa conectada a un ordenador, lo que lleva a la ejecución de PlugX (también conocido como Korplug), que luego descifra y lanza un backdoor basado en C llamado SOGU que exfiltra archivos de interés, pulsaciones de teclas y capturas de pantalla.
El segundo clúster que aprovecha el mecanismo de infiltración USB es UNC4698, que se ha centrado en organizaciones de petróleo y gas de Asia para distribuir el malware SNOWYDRIVE y ejecutar cargas útiles arbitrarias en los sistemas pirateados.
En estos ataques, se atrae a la víctima para que haga clic en un archivo trampa que se hace pasar por un ejecutable legítimo, activando así una cadena de acciones maliciosas, empezando por un dropper que establece un punto de apoyo, seguido de la ejecución del implante SNOWYDRIVE.
Algunas de las funcionalidades de la puerta trasera consisten en realizar búsquedas de archivos y directorios, cargar y descargar archivos, y lanzar un shell inverso.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian