研究人员发现新的 PlugX 恶意软件变种通过可移动 USB 设备传播

admin 2023年1月28日17:56:15评论53 views字数 1467阅读4分53秒阅读模式

研究人员发现新的 PlugX 恶意软件变种通过可移动 USB 设备传播

网络安全研究人员发现了一个 PlugX 样本,该样本采用偷偷摸摸的方法感染连接的可移动 USB 媒体设备,以便将恶意软件传播到其他系统。这种PlugX变体是可感染的,并且以隐藏Windows操作系统的方式感染USB设备,”Palo Alto Networks Unit 42研究人员Mike Harbison和Jen Miller-Osborn说。“用户不会知道他们的USB设备被感染或可能被用来将数据泄露出他们的网络。

这家网络安全公司表示,在Black Basta勒索软件攻击一名未具名受害者后,它在事件响应工作中发现了该工件。在受感染环境中发现的其他工具包括Gootkit恶意软件加载程序和Brute Ratel C4红色团队框架。

趋势科技此前曾在 2022 年 <> 月强调了黑巴斯塔集团对 Brute Ratel 的使用,该软件通过 Qakbot 网络钓鱼活动作为第二阶段有效载荷交付。据Quadrant Security称,该攻击链已被用于对付位于美国东南部的大型区域能源机构。

PlugX 的 USB 变体值得注意的是,它使用称为不间断空格 (U+00A0) 的特定 Unicode 字符来隐藏插入工作站的 USB 设备中的文件。

“空格字符阻止Windows操作系统呈现目录名称,隐藏它,而不是在资源管理器中留下一个无名称的文件夹,”研究人员说,解释了这种新技术。

最终,一个 Windows 快捷方式 (.LNK) 文件在闪存驱动器的根文件夹中创建用于从隐藏目录执行恶意软件。PlugX 示例的任务不仅是在主机上植入恶意软件,而且还通过在回收站文件夹中伪装恶意软件来将其复制到可能连接到它的任何可移动设备上。

研究人员发现新的 PlugX 恶意软件变种通过可移动 USB 设备传播

就其本身而言,快捷方式文件具有与USB设备相同的名称,并显示为驱动器图标,可移动设备根目录上的现有文件或目录移动到在“快捷方式”文件夹中创建的隐藏文件夹中。

“每当点击受感染USB设备的快捷方式文件时,PlugX恶意软件都会启动Windows资源管理器并将目录路径作为参数传递,”Unit 42说。“然后,这会从隐藏目录中显示USB设备上的文件,并且还会用PlugX恶意软件感染主机。

该技术依赖于这样一个事实,即Windows文件资源管理器(以前称为Windows资源管理器)默认情况下不显示隐藏项目。但这里的巧妙之处在于,启用该设置时,所谓的回收站中的恶意文件不会显示。

这实际上意味着流氓文件只能在类Unix操作系统(如Ubuntu)上查看,或者通过将USB设备安装在取证工具中来查看。

“一旦USB设备被发现并被感染,感染后写入USB设备根文件夹的任何新文件都会移动到USB设备中的隐藏文件夹中,”研究人员说。“由于Windows快捷方式文件类似于USB设备的快捷方式文件,并且恶意软件显示受害者的文件,因此它们在不知不觉中继续传播PlugX恶意软件。

Unit 42表示,它还发现了PlugX的第二个变种,除了感染USB设备外,还会进一步将所有Adobe PDF和Microsoft Word文件从主机复制到恶意软件创建的USB设备上的另一个隐藏文件夹。

使用 USB 驱动器作为从其目标中泄露特定感兴趣文件的手段表明部分威胁参与者试图跳过气隙网络。

随着最新的发展,PlugX加入了其他恶意软件家族的行列,如ANDROMEDA和Raspberry Robin,这些家族增加了通过受感染的USB驱动器传播的能力。这些样本的发现表明,PlugX的发展至少在一些技术熟练的攻击者中仍然存在,并且仍然是一个活跃的威胁。


原文始发于微信公众号(黑猫安全):研究人员发现新的 PlugX 恶意软件变种通过可移动 USB 设备传播

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月28日17:56:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   研究人员发现新的 PlugX 恶意软件变种通过可移动 USB 设备传播https://cn-sec.com/archives/1526942.html

发表评论

匿名网友 填写信息