美國(guó)聯(lián)邦調(diào)查局周五警告說(shuō)，勒索軟件團(tuán)伙正在郵寄惡意的U盤(pán)，冒充美國(guó)衛(wèi)生與公眾服務(wù)部(HHS)和亞馬遜集團(tuán)，針對(duì)運(yùn)輸、保險(xiǎn)和國(guó)防行業(yè)進(jìn)行勒索軟件感染攻擊。

聯(lián)邦調(diào)查局在發(fā)給各個(gè)組織的安全警報(bào)中說(shuō)，F(xiàn)IN7--又名Carbanak或Navigator Group，是使用Carbanak后門(mén)惡意軟件進(jìn)行攻擊的網(wǎng)絡(luò)犯罪團(tuán)伙，其攻擊經(jīng)常以獲取經(jīng)濟(jì)利益為目的。

FIN7從2015年就已經(jīng)開(kāi)始存在了。最初，該團(tuán)伙通過(guò)使用其定制的后門(mén)惡意軟件來(lái)維持對(duì)目標(biāo)公司的持續(xù)訪問(wèn)權(quán)限，以及使用間諜軟件來(lái)針對(duì)銷售點(diǎn)(PoS)系統(tǒng)進(jìn)行攻擊而逐漸為民眾所熟知。它的攻擊目標(biāo)往往是休閑餐廳、賭場(chǎng)和酒店。但在2020年，F(xiàn)IN7也開(kāi)始涉足勒索軟件以及游戲領(lǐng)域，其攻擊活動(dòng)經(jīng)常會(huì)使用REvil或Ryuk作為有效攻擊載荷。

聯(lián)邦調(diào)查局說(shuō)，在過(guò)去的幾個(gè)月里，F(xiàn)IN7將惡意的USB設(shè)備郵寄給美國(guó)公司，希望有人能夠把它插到驅(qū)動(dòng)器上，然后利用惡意軟件來(lái)感染系統(tǒng)，從而為以后的勒索軟件攻擊做好準(zhǔn)備。

聯(lián)邦調(diào)查局在安全警報(bào)中說(shuō)："自2021年8月以來(lái)，聯(lián)邦調(diào)查局收到了幾個(gè)裝有USB設(shè)備的包裹，調(diào)查也發(fā)現(xiàn)運(yùn)輸、保險(xiǎn)和國(guó)防行業(yè)的美國(guó)企業(yè)也收到了這些快遞。”

郵寄的BadUSB設(shè)備

聯(lián)邦調(diào)查局補(bǔ)充說(shuō)："這些包裹都是通過(guò)美國(guó)郵政服務(wù)和聯(lián)合包裹服務(wù)發(fā)送的。”

聯(lián)邦調(diào)查局說(shuō)，攻擊者對(duì)這些包裹進(jìn)行了偽裝，把它們偽裝成了與大流行病有關(guān)的物品，或者偽裝成來(lái)自亞馬遜的商品。包裹主要有兩種，那些模仿HHS的包裹通常附有提及COVID-19指南的信件，并附上一個(gè)USB;而那些偽裝成亞馬遜的包裹則會(huì)裝在一個(gè)有裝飾性的禮品盒中，其中包含一封具有欺詐性的感謝信、偽造的禮品卡和一個(gè)USB。

無(wú)論是哪種方式，這些包裹中都裝有LilyGO品牌的USB設(shè)備。

聯(lián)邦調(diào)查局說(shuō)，如果目標(biāo)相信所有了的裝飾品，并將其插入到了USB驅(qū)動(dòng)器，這些設(shè)備就會(huì)進(jìn)行一次BadUSB攻擊。BadUSB攻擊是利用了USB固件中的一個(gè)固有漏洞，該漏洞能夠使攻擊者對(duì)USB設(shè)備進(jìn)行重新編程，使其能夠作為一個(gè)人機(jī)交互設(shè)備，即作為一個(gè)預(yù)裝了自動(dòng)執(zhí)行腳本的惡意USB鍵盤(pán)。重新編程后，USB可以被用來(lái)在受害者的電腦上執(zhí)行惡意命令或運(yùn)行惡意程序。

無(wú)論是BadUSB攻擊還是FIN7發(fā)動(dòng)的攻擊都不是什么新鮮事。2020年，Trustwave SpiderLabs網(wǎng)絡(luò)安全研究團(tuán)隊(duì)最初發(fā)現(xiàn)這些惡意USB驅(qū)動(dòng)器被發(fā)送到了其中的一些客戶手中，這樣的惡意設(shè)備同樣包含在冒充亞馬遜和HHS的包裹中。最近發(fā)生的一次攻擊是2020年的一次攻擊，當(dāng)時(shí)聯(lián)邦調(diào)查局同樣發(fā)布了一個(gè)公共警報(bào)，并將FIN7列為罪魁禍?zhǔn)住?/p>

如何預(yù)防BadUSB攻擊

你可能會(huì)認(rèn)為，抵御惡意軟件攻擊的方法肯定是非常簡(jiǎn)單的，不要把它們插進(jìn)去就行了。然而，人類的本性就是這樣，一項(xiàng)又一項(xiàng)的研究表明，好奇心或利他主義(我要找出這是誰(shuí)的，這樣我就可以把它還回去了)會(huì)對(duì)人的安全造成傷害并導(dǎo)致系統(tǒng)被接管。

盡管如此，你至少要說(shuō)服人們克制住他們的好奇心，養(yǎng)成良好的行為習(xí)慣。Trustwave SpiderLabs的高級(jí)安全研究經(jīng)理Karl Sigler周一告訴媒體，針對(duì)員工的安全意識(shí)培訓(xùn)應(yīng)該包含預(yù)防這種類型的攻擊的方法，并警告人們不要將任何不熟悉的設(shè)備連接到你的電腦上。

他說(shuō)，端點(diǎn)保護(hù)軟件也可以幫助防止這些攻擊，它可以很好的保證用戶的安全性。

Sigler通過(guò)電子郵件說(shuō)："這些攻擊都是由模擬USB鍵盤(pán)的U盤(pán)引發(fā)的，所以一個(gè)能夠監(jiān)控命令執(zhí)行的端點(diǎn)保護(hù)軟件應(yīng)該能夠解決大多數(shù)問(wèn)題。”

Sigler補(bǔ)充說(shuō)，對(duì)于那些不需要使用USB配件的重要的系統(tǒng)，使用基于物理和軟件的USB端口阻止器也有助于防止這種攻擊。

ACA集團(tuán)則創(chuàng)造了一個(gè)縮寫(xiě)詞 "CAPs"，指的是所有的組織都應(yīng)該積極監(jiān)測(cè)網(wǎng)絡(luò)安全，防止勒索軟件攻擊的發(fā)生。CAPs指的是配置、訪問(wèn)和補(bǔ)丁，而員工的安全意識(shí)及其他教育也是至關(guān)重要的。

進(jìn)行配置管理 — 這樣可以有效減少攻擊者用來(lái)訪問(wèn)你的系統(tǒng)端口的數(shù)量。許多攻擊之所以能夠成功，是因?yàn)榘踩O(shè)備、云配置等方面存在錯(cuò)誤的配置。

限制人員訪問(wèn) - 減少攻擊者進(jìn)入你系統(tǒng)內(nèi)部的訪問(wèn)點(diǎn)的數(shù)量。

及時(shí)打補(bǔ)丁 - 減少通過(guò)未知的端口進(jìn)行攻擊的機(jī)會(huì)，這是修復(fù)安全漏洞的基礎(chǔ)。

本文翻譯自：https://threatpost.com/fin7-mailing-malicious-usb-sticks-ransomware/177541/如若轉(zhuǎn)載，請(qǐng)注明原文地址。