網路間諜組織Tick通過U盤感染未聯網計算機

「用指尖改變世界」

Tick是主要針對日本和韓國組織的網路間諜活動組織。該組織以用各種定製惡意軟體進行攻擊活動而惡名昭彰，如Minzen、Datper、Nioupale(又名Daserf)和HomamDownloader。最近，帕洛阿爾托網路公司第42單元（後文稱Unit 42）針對他們有了新的發現。

Unit 42察覺Tick組織目標為由韓國防務公司創建的特定類型的安全USB驅動器。USB驅動器及其管理系統具有遵循韓國安全指南的各種功能。安全USB驅動器的武器化是一種不常見的攻擊技術，可能是為了擴展到無法連接到公共互聯網的系統而實施的。另外，經Unit 42研究表明，儘管惡意軟體創建時間為新版Windows投入使用後，但Tick在攻擊中使用的惡意軟體只會嘗試感染運行Microsoft Windows XP或Windows Server 2003的系統。這似乎表明他們有意針對安裝在沒有互聯網連接的系統上的舊版本的Microsoft Windows。在許多國家、政府、軍隊和國防承包商以及其他垂直行業因安全因素都採用空隙系統。（註：空隙是為需要密封安全性的計算機，計算機系統或網路實施的安全措施，不存在妥協風險，它確保了給定系統的完全隔離。）

迄今暫未發現任何公開報道此類攻擊的情況，Unit 42根據收集的數據分析認為，這種攻擊不屬於任何其他威脅活動。

雖然目前關於過往襲擊的描述還不完整，Unit 42仍根據他們的研究勾勒出了一下假設的攻擊情景：

1.Tick 組織以某種方式破壞了安全類型的USB驅動器，並將惡意文件載入到未知數量的驅動器內。這些USB驅動器應該被韓國ITSCC（英文）認證為安全。

2.Tick組織創建了一個特定的惡意軟體，Unit 42稱之為SymonLoader，它以某種方式在舊系統上運行，並持續查找這些特定的USB驅動器。

3.SymonLoader專門針對Windows XP和Windows Server 2003系統。

4.如果SymonLoader檢測到存在特定類型的安全USB驅動器，它將嘗試使用直接訪問文件系統的API載入未知惡意文件。

在各種條件假設和代碼分析後，Unit 42 得出以下結論：

「Tick組織使用木馬化合法應用程序誘騙受害者安裝第一階段惡意軟體，主要是HomamDownloader。在這項研究中，我們發現一個之前不為人知的載入程序惡意軟體被刪除，但不是HomamDownloader，這個惡意軟體多年前被用於惡意攻擊。HomamLoader需要連接到它的C2伺服器以下載額外的有效負載，而SymonLoader則不同，它會在插入受損系統時嘗試從特定類型的安全USB驅動器中提取並安裝未知隱藏有效載荷。這種技術很少見，而且在其他攻擊中幾乎沒有報道。

雖然我們沒有隱藏在安全USB上的文件的副本，但我們有足夠多的信息來確定它很可能是惡意的。對一個安全的USB驅動器進行武器化是一種不常見的技術，並且很可能會破壞空隙系統，這些系統不會連接到公共互聯網的系統。一些行業或組織處於安全考慮引入空隙。另外，由於聯網的簡易更新解決方案，這些組織經常使用過時的操作系統版本。當用戶無法連接到外部伺服器時，他們傾向於依賴物理存儲設備（尤其是USB驅動器）進行數據交換。」

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！