ФБР сообщает, что в последние месяцы хак-группа FIN7, известная, в числе прочего, благодаря своим шифровальщикам Darkside и BlackMatter, рассылала вредоносные USB-устройства американским компаниям в надежде заразить их системы и получить отправную точку для атак.
«С августа 2021 года ФБР получило сообщения уже о нескольких посылках, содержащих такие USB-устройства, которые были отправлены американским предприятиям в области транспорта, страхования и обороны, — гласит сообщение Федерального бюро расследований. — Посылки были отправлены с использованием Почтовой службы США (USPS) и United Parcel Service (UPS)».
Существует два варианта таких посылок: одни имитируют сообщения от HHS (Министерство здравоохранения и социальных служб США), к ним часто приложены письма со ссылками на рекомендации по защите от COVID-19, указывающими обратиться к приложенной USB-флешке. Другие имитируют посылку от Amazon, пришедшую в подарочной упаковке, и содержат поддельное благодарственное письмо, поддельную подарочную карту и USB-девайс. Известно, что в обоих случаях отправления содержали USB-устройства марки LilyGO.
По данным правоохранителей, если жертва подключала такой девайс к своим ПК, устройства выполняли атаку типа BadUSB, в ходе которой устройство использовало HID, регистрировало себя как клавиатуру и передавало серию предварительно заданных нажатий клавиш машине пользователя.
Эти нажатия клавиш запускали команды PowerShell, которые уже загружали и устанавливали различные вредоносные программы, действовавшие как бэкдоры. В случаях, расследованных ФБР, хак-группа получала административный доступ, а затем атаковала другие локальные системы.
«Участники FIN7 использовали различные инструменты, в том числе Metasploit, Cobalt Strike, скрипты PowerShell, Carbanak, GRIFFON, DICELOADER, TIRION, а также разворачивали программы-вымогатели, включая BlackMatter и REvil, в скомпрометированной сети».
Напомню, что это далеко не первый подобный случай. К примеру, в 2020 году эксперты компании рассказывали, что неназванная американская компания из сферы гостиничных услуг получила по почте поддельную подарочную карту BestBuy вместе с вредоносной USB-флешкой. В сопровождающем письме было сказано, что накопитель нужно подключить к компьютеру, чтобы получить доступ к списку товаров, для которых можно использовать подарочную карту.
