แฟลชไดรฟ์ USB ที่ติดมัลแวร์ SOGU และ SNOWYDRIVE กำลังโจมตีเป้าหมายทั่วโลก

349/66 (IT) ประจำวันอังคารที่ 18 กรกฎาคม 2566

การโจมตีทางไซเบอร์โดยใช้แฟลชไดรฟ์ที่ติดมัลแวร์ ได้เพิ่มขึ้นเป็นสามเท่าในช่วงครึ่งแรกของปี 2566 ซึ่งนี้เป็นไปตามการค้นพบใหม่จาก Mandiant โดยมีรายละเอียดของแคมเปญการโจมตีดังกล่าว จำนวน 2 แคมเปญ ได้แก่ SOGU และ SNOWYDRIVE ซึ่งกำหนดเป้าหมายไปยังหน่วยงานภาครัฐและเอกชนทั่วโลก

SOGU คือ การโจมตีแบบจารกรรมทางไซเบอร์ที่แพร่หลายที่สุดโดยใช้แฟลชไดรฟ์ USB โดยแคมเปญดังกล่าวเกิดจากคลัสเตอร์ในประเทศจีนที่ชื่อว่า TEMP.Hex ซึ่งเป็นกลุ่มภัยคุกคามที่มีชื่อว่า Camaro Dragon, Earth Preta และ Mustang Panda โดยมีเป้าหมายเป็นกลุ่มภาคการก่อสร้างและวิศวกรรม การบริการธุรกิจ ภาครัฐ สุขภาพ การขนส่ง และการค้าปลีกในยุโรป เอเชีย และสหรัฐอเมริกา โดยขั้นตอนการโจมตีเริ่มต้นด้วยแฟลชไดรฟ์ USB ที่มีมัลแวร์เสียบเข้ากับเครื่องคอมพิวเตอร์ และนำไปสู่กระบวนการทำงานของมัลแวร์ PlugX (หรือที่เรียกว่า Korplug) ซึ่งจะทำการถอดรหัสและเปิดใช้งานแบ็คดอร์ที่ใช้ภาษา C ที่ชื่อว่า SOGU ซึ่งจะกรองไฟล์ที่น่าสนใจ บันทึกการกดแป้นพิมพ์ และถ่ายภาพหน้าจอ   

SNOWYDRIVE มุ่งเป้าไปยังองค์กรบริษัทด้านพลังงานน้ำมันและก๊าซธรรมชาติในเอเชีย เมื่อเสียบแฟลชไดรฟ์ที่มีมัลแวร์เข้ากับเครื่องคอมพิวเตอร์ และโหลดมัลแวร์ SNOWYDRIVE แล้ว มันจะสร้างแบ็คดอร์บนระบบโฮสต์ ทำให้ผู้โจมตีสามารถออกคำสั่งระบบจากระยะไกลได้ และมันยังสามารถแพร่กระจายไปยังแฟลชไดรฟ์ USB อื่น ๆ และแพร่กระจายไปทั่วเครือข่ายได้ โดยฟังก์ชันการทำงานบางอย่างของแบ็คดอร์ประกอบด้วยการค้นหาไฟล์และไดเร็กทอรี การอัปโหลดและดาวน์โหลดไฟล์ และการเปิดใช้ reverse shell อีกด้วย ดังนั้น องค์กรต่างๆ ควรให้ความสำคัญกับการบังคับใช้ข้อจำกัดในการเข้าถึงอุปกรณ์ภายนอกอย่าง แฟลชไดรฟ์ USB หรืออย่างน้อยควรที่จะทำการสแกนอุปกรณ์เหล่านี้เพื่อหาไฟล์หรือโค้ดที่เป็นอันตรายก่อนที่จะเชื่อมต่อกับเครือข่ายภายใน

แหล่งข่าว [ https://thehackernews.com/2023/07/malicious-usb-drives-targetinging.html ]