黑客邮寄恶意U盘攻击美国国防公司

联邦调查局 (FBI) 在最近更新的紧急警报中警告美国公司，出于经济动机的 FIN7网络犯罪组织正在通过包含恶意USB设备的软件包瞄准美国国防工业。

攻击者正在邮寄包含带有LilyGO标志的“BadUSB”或“Bad Beetle USB”设备的包裹，这些设备通常在网络上出售。

自2021年8月起，这些包裹已通过美国邮政服务(USPS)和联合包裹服务(UPS)邮寄给运输和保险行业的企业，以及从2021年11月开始寄给美国国防相关公司。

FIN7运营商冒充亚马逊和美国卫生与公众服务部(HHS)，诱骗目标打开包裹并将USB驱动器连接到他们的系统。自8月以来，FBI收到的报告称，这些恶意包裹还包含有关COVID-19指南或伪造礼品卡的信件，以及伪造的感谢信，具体取决于冒充的实体。目标将USB驱动器插入他们的计算机后，它会自动注册为人机接口设备 (HID) 键盘(即使在可移动存储设备关闭的情况下也可以运行)。然后它开始注入以在受感染的系统上安装恶意软件。

FIN7在这些攻击中的最终目标是访问受害者的网络并使用各种工具在受感染的网络中部署勒索软件，包括Metasploit、Cobalt Strike、Carbanak恶意软件、Griffon后门和PowerShell脚本。

攻击流示意图(Trustwave)

曾使用泰迪熊来推送恶意软件

这些攻击是在两年前FBI警告的另一系列事件之后发生的， 当时FIN7运营商冒充百思买，并通过USPS将带有恶意闪存驱动器的类似包裹邮寄给酒店、餐馆和零售企业。

此类攻击者的报告于2020年2月开始浮出水面。一些目标还报告说，黑客通过电子邮件或电话向他们施压，要求他们将U盘插入到他们的电脑。

至少从2020年5月开始，FIN7发送的恶意包裹还包括旨在诱骗目标降低警惕的泰迪熊等物品。像FIN7所尝试的攻击被称为HID或USB驱动攻击，只有当受害者愿意或被诱骗将未知USB设备插入其电脑时，它们才能成功。

各大公司可以通过允许其员工仅根据其USB设备硬件ID连接或需要经过安全团队审查来防御此类攻击。

来源：红数位