Google Cloud 旗下網路安全公司 Mandiant 的研究人員發現,2023 上半年透過 USB 隨身碟發動惡意軟體攻擊的案例激增三倍,攻擊量創歷年新高。
Mandiant 研究報告顯示,新一波 USB 隨身碟攻擊引發網路間諜活動有兩大系統,其一稱為「Sogu」,疑似與中國有聯繫的駭客團體 TEMP.HEX 有關,藉此收集有利於中國國家安全和經濟利益的資訊。另一個則稱為「Snowydrive」,可能與另一個駭客團體 UNC4698 有關,特別針對亞洲多家石油和天然氣公司進行攻擊。
Mandiant 點名「Sogu」是目前最活躍的 USB 隨身碟攻擊主因,鎖定如製藥、IT、能源、通訊、健康、物流等諸多產業發動攻擊。遭到「Sogu」攻擊的受害者遍及全球,包括美國、法國、英國、義大利、波蘭、奧地利、澳洲、瑞士、中國、日本、烏克蘭、新加坡、印尼、菲律賓。
▲ 遭到「Sogu」攻擊的產業以製藥、IT 兩種產業最多,占比均達 11.8%。(Source:Mandiant)
根據 Mandiant 分析,遭到「Sogu」攻擊的 USB 隨身碟是最初的感染媒介,裡面藏有多種惡意軟體,再利用 DLL 劫持手法將惡意軟體載入受害者電腦的記憶體裡,執行後試圖竊取有價值的資訊,並上傳到特定伺服器。
至於「Snowydrive」會在受害者電腦安裝後門,駭客可以透過 Windows 命令列載入更多惡意軟體,竊取檔案內容。
台灣電腦網路危機處理暨協調中心建議,企業和公家機關應針對電腦 USB 連接埠的存取權限提高防範能力,盡可能避免使用任何形式的外部儲存裝置,還要加強內部人員的資安教育訓練,以防範惡意軟體攻擊。
(首圖來源:pixabay)