Tick是主要針對(duì)日本和韓國(guó)組織的網(wǎng)絡(luò)間諜活動(dòng)組織。該組織以用各種定制惡意軟件進(jìn)行攻擊活動(dòng)而惡名昭彰，如Minzen、Datper、Nioupale(又名Daserf)和HomamDownloader。

最近，Unit 42察覺(jué)Tick組織目標(biāo)為由韓國(guó)防務(wù)公司創(chuàng)建的特定類(lèi)型的安全USB驅(qū)動(dòng)器。USB驅(qū)動(dòng)器及其管理系統(tǒng)具有遵循韓國(guó)安全指南的各種功能。安全USB驅(qū)動(dòng)器的武器化是一種不常見(jiàn)的攻擊技術(shù)，可能是為了擴(kuò)展到無(wú)法連接到公共互聯(lián)網(wǎng)的系統(tǒng)而實(shí)施的。另外，經(jīng)Unit 42研究表明，盡管惡意軟件創(chuàng)建時(shí)間為新版Windows投入使用后，但Tick在攻擊中使用的惡意軟件只會(huì)嘗試感染運(yùn)行Microsoft Windows XP或Windows Server 2003的系統(tǒng)。這似乎表明他們有意針對(duì)安裝在沒(méi)有互聯(lián)網(wǎng)連接的系統(tǒng)上的舊版本的Microsoft Windows。在許多國(guó)家、政府、軍隊(duì)和國(guó)防承包商以及其他垂直行業(yè)因安全因素都采用空隙系統(tǒng)。

迄今暫未發(fā)現(xiàn)任何公開(kāi)報(bào)道此類(lèi)攻擊的情況，Unit 42根據(jù)收集的數(shù)據(jù)分析認(rèn)為，這種攻擊不屬于任何其他威脅活動(dòng)。雖然目前關(guān)于過(guò)往襲擊的描述還不完整，Unit 42仍根據(jù)他們的研究勾勒出了一下假設(shè)的攻擊情景：
1、Tick 組織以某種方式破壞了安全類(lèi)型的USB驅(qū)動(dòng)器，并將惡意文件加載到未知數(shù)量的驅(qū)動(dòng)器內(nèi)。這些USB驅(qū)動(dòng)器應(yīng)該被韓國(guó)ITSCC（英文）認(rèn)證為安全。
2、Tick組織創(chuàng)建了一個(gè)特定的惡意軟件，Unit 42稱(chēng)之為SymonLoader，它以某種方式在舊系統(tǒng)上運(yùn)行，并持續(xù)查找這些特定的USB驅(qū)動(dòng)器。
3、SymonLoader專(zhuān)門(mén)針對(duì)Windows XP和Windows Server 2003系統(tǒng)。
4、如果SymonLoader檢測(cè)到存在特定類(lèi)型的安全USB驅(qū)動(dòng)器，它將嘗試使用直接訪問(wèn)文件系統(tǒng)的API加載未知惡意文件。

在各種條件假設(shè)和代碼分析后，Unit 42 得出以下結(jié)論：
Tick組織使用木馬化合法應(yīng)用程序誘騙受害者安裝第一階段惡意軟件，主要是HomamDownloader。在這項(xiàng)研究中，發(fā)現(xiàn)一個(gè)之前不為人知的加載程序惡意軟件被刪除，但不是HomamDownloader，這個(gè)惡意軟件多年前被用于惡意攻擊。HomamLoader需要連接到它的C2服務(wù)器以下載額外的有效負(fù)載，而SymonLoader則不同，它會(huì)在插入受損系統(tǒng)時(shí)嘗試從特定類(lèi)型的安全USB驅(qū)動(dòng)器中提取并安裝未知隱藏有效載荷。這種技術(shù)很少見(jiàn)，而且在其他攻擊中幾乎沒(méi)有報(bào)道。

雖然我們沒(méi)有隱藏在安全USB上的文件的副本，但我們有足夠多的信息來(lái)確定它很可能是惡意的。對(duì)一個(gè)安全的USB驅(qū)動(dòng)器進(jìn)行武器化是一種不常見(jiàn)的技術(shù)，并且很可能會(huì)破壞空隙系統(tǒng)，這些系統(tǒng)不會(huì)連接到公共互聯(lián)網(wǎng)的系統(tǒng)。一些行業(yè)或組織處于安全考慮引入空隙。另外，由于聯(lián)網(wǎng)的簡(jiǎn)易更新解決方案，這些組織經(jīng)常使用過(guò)時(shí)的操作系統(tǒng)版本。當(dāng)用戶(hù)無(wú)法連接到外部服務(wù)器時(shí)，他們傾向于依賴(lài)物理存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)交換。”

ice

收藏 海報(bào)分享