Jump to content

Зафиксирован новый случай использования крайне редкой атаки BadUSB

Sign in to follow this  
mr.save

46 views

Как сообщают специалисты ИБ-компании Trustwave, компьютерные сети одного из гостиничных операторов США подверглись редкой атаке BadUSB.

Злоумышленники прислали гостиничному оператору по обычной почте письмо с поддельным подарочным сертификатом BestBuy и USB флэш-накопителем. В письме сообщалось, что на «флэшке» содержится список товаров, которые можно оплатить с помощью подарочного сертификата. Однако на самом деле устройство представляло собой то, что ИБ-эксперты называют BadUSB – USB флэш-накопитель, который при подключении к компьютеру играет роль клавиатуры и эмулирует нажатия клавиш для запуска автоматизированных атак.

Согласно отчету Trustwave, гостиничный оператор, название которого не разглашается, обнаружил попытку атаки и обратился к ИБ-компании за помощью в расследовании.

После подключения к тестовой рабочей станции «флэшка» инициировала серию автоматизированных нажатий клавиш на клавиатуре, запускающих PowerShell-команду. Эта команда загружала с web-сайта более объемный PowerShell-скрипт и устанавливала вредоносный JScript-бот. На момент проведения анализа данный образец вредоносного ПО был незнаком специалистам Trustwave. Вероятнее всего, он является кастомным и создан специально для конкретной целевой атаки.

Через некоторое время похожий образец вредоносного ПО был загружен на VirusTotal. Как показал дальнейший анализ образца специалистами Facebook и «Лаборатории Касперского», его разработчиком может быть известная APT-группа FIN7. Кто загрузил файл на VirusTotal, неизвестно, возможно, это были ИБ-специалисты, расследующие похожий случай.

Атака BadUSB впервые была описана в начале 2010-х годов и в течение долгих лет существовала лишь в теории. Она отрабатывалась специалистами во время тестирований на проникновение и учений, но в реальной жизни атака практически не встречалась. Последний известный случай был описан «Лабораторией Касперского» в декабре 2018 года.

Sign in to follow this  


0 Comments


Recommended Comments

There are no comments to display.

Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...