如果有人寄包裹到公司,请提高警觉。CNN、Bleeping Computer上周分别报道,美国联邦调查局(FBI)上周发出警告,黑客组织近日假借感谢函发送USB磁盘给美国企业,以传播木马、后门及勒索等恶意软件。
报道指出,去年8月起陆续有运输、保险业及国防工业厂商,接到黑客通过快递企业UPS或美国邮局发送内置恶意U盘的实体包裹。这些包裹宣称是由美国卫生服务部(US Department of Human Health Services)发出,内有冒充HHS发送的COVID-19指引文件及“LilyGO”标志的U盘。有的包裹则冒充Amazon送上相同的U盘,并以感谢信函及伪造礼品卡降低用户戒心。
若用户将这些USB磁盘插入计算机,就会遭到BadUSB攻击。BadUSB攻击之下,U盘会将自己注册为键盘,并在用户计算机送入预先设置的键击组合。这些键击组合可执行PowerShell指令,在用户计算机下载安装后门程序GRIFFON、木马程序DICELOADER、Carbanak后门、勒索软件BlackMatter、REvil或Cobalt Strike、Metasploit等程序。
FBI指出,发动这桩攻击的是稍早宣布解散的BlackMatter、Darkside行动背后的FIN7,又称Carbanak或Navigator Group。美国警方已经观察到已有黑客借此取得企业管理员帐密及在内部网络横向移动。至于这波攻击的受害企业数量,FBI并未公布。
事实上,这是FIN7重施故技。2018年8月FBI也曾控告FIN7入侵全美企业包括零售、线上游戏及医院,以窃取1500多万客户信用卡资料及个人信息,受害企业多达3,600多家,遍布47州及哥伦比亚特区。据信FIN7也是以发送USB作为攻击手段。2020年安全厂商Trustwave则发现另一个黑客组织伪装成Best Buy的包裹,以50美元礼券及BadUSB手法攻击消费用户(如上图所示,图片来源/Trustwave)。