Nova sofisticirana prijetnja praćena kao ‘TetrisPhantom’ koristi kompromitovane sigurne USB diskove za ciljanje vladinih sistema u azijsko-pacifičkom regionu.
Sigurni USB diskovi pohranjuju datoteke u šifrirani dio uređaja i koriste se za siguran prijenos podataka između sistema, uključujući i one u air-gapped okruženju.
Pristup zaštićenoj particiji moguć je putem prilagođenog softvera koji dešifruje sadržaj na osnovu lozinke koju je dao korisnik. Jedan takav softver je UTetris.exe, koji se nalazi u paketu na nešifrovanom dijelu USB diska.
Istraživači sigurnosti otkrili su trojanizirane verzije aplikacije UTetris raspoređene na sigurnim USB uređajima u kampanji napada koja traje najmanje nekoliko godina i cilja na vlade u APAC regiji.
Prema najnovijem izveštaju kompanije Kaspersky o APT trendovima, TetrisPhantom koristi različite alate, komande i zlonamerne komponente koje ukazuju na sofisticiranu grupu hakera sa dobrim resursima.
„Napad se sastoji od sofisticiranih alata i tehnika, uključujući prikrivanje softvera zasnovano na virtuelizaciji za komponente malvera, komunikaciju niskog nivoa sa USB diskom koristeći direktne SCSI komande, samoreplikaciju preko povezanih sigurnih USB diskova radi širenja na druge air-gapped sisteme i ubrizgavanje koda u legitimni program za upravljanje pristupom na USB disku koji djeluje kao učitavač malvera na novom stroju.” – Kaspersky
Detalji napada
Kaspersky je podijelio dodatne detalje sa BleepingComputer-om, objašnjavajući da napad sa trojaniziranom aplikacijom Utetris počinje izvršavanjem na ciljnoj mašini payloada zvanog AcroShell.
AcroShell uspostavlja komunikacijsku liniju sa napadačevim komandnim i kontrolnim (C2) serverom i može dohvatiti i pokrenuti dodatni payload za krađu dokumenata i osjetljivih datoteka, te prikupiti specifične detalje o USB diskovima koje koristi cilj.
Hakeri takođe koriste informacije prikupljene na ovaj način za istraživanje i razvoj drugog malvera zvanog XMKR i trojaniziranog UTetris.exe.
“XMKR modul je raspoređen na Windows mašini i odgovoran je za kompromitovanje bezbednih USB diskova povezanih sa sistemom kako bi se napad potencijalno proširio na air-gapped sisteme” – Kaspersky
Mogućnosti XMKR-a na uređaju uključuju krađu datoteka u svrhe špijunaže, a podaci se zapisuju na USB diskove.
Informacije o kompromitovanom USB-u se zatim eksfiltriraju na server napadača kada se uređaj za skladištenje priključi na računar povezan na internet zaražen AcroShell-om.
Kaspersky je pronašao i analizirao dvije zlonamjerne izvršne varijante Utetris-a, jednu koja se koristila između septembra i oktobra 2022. (verzija 1.0), a drugu raspoređenu u državnim mrežama od oktobra 2022. do sada (verzija 2.0).
Kaspersky kaže da ovi napadi traju već najmanje nekoliko godina, a špijunaža je u stalnom fokusu TetrisPhantoma. Istraživači su uočili mali broj infekcija na vladinim mrežama, što ukazuje na ciljanu operaciju.
Izvor: BleepingComputer