意大利黑客利用USB设备进行网络攻击

UNC4990小组最近在意大利频繁活跃，采用了一系列攻击手法，再次证明了即使是过时的技术仍然可以非常有效。这次攻击涉及到多个行业，包括医疗保健、运输、建筑和物流等领域。

攻击方式包括通过恶意USB设备传播恶意软件，利用一些常见的网站，如GitHub、Vimeo和Ars Technica，来托管额外的有效负载。UNC4990小组还使用PowerShell从这些站点下载和解密恶意文件，展开攻击活动。

尽管UNC4990小组的最终目标尚不清楚，但已经确定有一个案例涉及加密货币挖矿，这可能表明他们可能具有财务动机。这次事件再次强调了网络安全的重要性，以及企业和组织需要采取措施来保护自己免受潜在的网络攻击。

此外，Fortgale和Yoroi的研究人员也报告了类似的恶意活动。感染过程通常始于受害者启动恶意的LNK文件，这会导致执行远程服务器加载EMPTYSPACE的PowerShell脚本。值得注意的是，EMPTYSPACE脚本有四种版本，分别用不同的编程语言编写，包括Golang、.NET、Node.js和Python，它们的主要目的是下载后续的恶意软件，其中包括QUIETBOARD后门。这种多样性和复杂性使得恶意活动的检测和应对变得更加具有挑战性。

QUIETBOARD是一个功能强大的Python后门，具有广泛的功能，包括执行任意命令、更改加密货币钱包地址以及收集系统信息。此外，它还可以传播到可移动存储设备，并截取屏幕截图，使攻击者能够监视受感染系统的活动。尽管攻击者选择使用流行网站来托管他们的恶意软件，但这些网站的内容本身对普通用户并没有直接威胁。

通过对EMPTYSPACE和QUIETBOARD的分析，可以看出攻击者采用了一种模块化的方法来开发工具，这表明他们具有实验性和适应性。这些事件再次强调了即使是传统的攻击方法（例如通过受感染的USB设备传播）仍然能够取得成功，而且内置的安全系统通常难以识别它们。这也凸显了继续改进网络防御的重要性，只有综合考虑技术、流程和人为因素，才能确保达到适当的安全水平。