حذر مكتب التحقيقات الفيدرالي (FBI) Federal Bureau of Investigation الشركات الأمريكية في تنبيه فلاش flash alert تم تحديثه مؤخرًا من أن مجموعة الجرائم الإلكترونية FIN7 ذات الدوافع المالية استهدفت صناعة الدفاع الأمريكية بحزم تحتوي على أجهزة USB ضارة لنشر برامج الفدية Ransomware.
أرسل المهاجمون حزمًا تحتوي على أجهزة "BadUSB" أو "Bad Beetle USB" تحمل شعار LilyGO، والمتوفرة عادة للبيع على الإنترنت.
استخدموا خدمة بريد الولايات المتحدة (USPS) و United Parcel Service (UPS) لإرسال الحزم الخبيثة malicious packages بالبريد إلى الشركات في صناعات النقل والتأمين منذ أغسطس 2021 وشركات الدفاع بدءًا من نوفمبر 2021.
أرسل المهاجمون حزمًا تحتوي على أجهزة "BadUSB" أو "Bad Beetle USB" تحمل شعار LilyGO، والمتوفرة عادة للبيع على الإنترنت.
استخدموا خدمة بريد الولايات المتحدة (USPS) و United Parcel Service (UPS) لإرسال الحزم الخبيثة malicious packages بالبريد إلى الشركات في صناعات النقل والتأمين منذ أغسطس 2021 وشركات الدفاع بدءًا من نوفمبر 2021.
تم نشر BlackMatter أو REvil Ransomware على الشبكات المخترقة
انتحل مشغلو FIN7 صفة Amazon ووزارة الصحة والخدمات البشرية الأمريكية (HHS) US Department of Health & Human Services لخداع الأهداف لفتح الحزم وتوصيل محركات أقراص USB بأنظمتها.
منذ أغسطس، تقول التقارير التي تلقاها مكتب التحقيقات الفيدرالي أن هذه الحزم الضارة تحتوي أيضًا على رسائل حول إرشادات COVID-19 أو بطاقات الهدايا المزيفة وملاحظات شكر مزورة، اعتمادًا على الكيان المنتحل.
بعد أن تقوم الأهداف بتوصيل محرك أقراص USB بأجهزة الكمبيوتر الخاصة بهم، يتم تسجيله تلقائيًا كلوحة مفاتيح لجهاز واجهة بشرية (HID) Human Interface Device (مما يسمح له بالعمل حتى مع إيقاف تشغيل أجهزة التخزين القابلة للإزالة).
ثم يبدأ في حقن ضغطات المفاتيح لتثبيت حمولات البرامج الضارة على الأنظمة المخترقة.
الهدف النهائي لـ FIN7 في مثل هذه الهجمات هو الوصول إلى شبكات الضحايا ونشر برامج الفدية (بما في ذلك BlackMatter و REvil) داخل شبكة مخترقة باستخدام أدوات مختلفة، بما في ذلك Metasploit و Cobalt Strike و Carbanak الضارة والبرامج النصية Griffon backdoor و PowerShell النصية.
منذ أغسطس، تقول التقارير التي تلقاها مكتب التحقيقات الفيدرالي أن هذه الحزم الضارة تحتوي أيضًا على رسائل حول إرشادات COVID-19 أو بطاقات الهدايا المزيفة وملاحظات شكر مزورة، اعتمادًا على الكيان المنتحل.
بعد أن تقوم الأهداف بتوصيل محرك أقراص USB بأجهزة الكمبيوتر الخاصة بهم، يتم تسجيله تلقائيًا كلوحة مفاتيح لجهاز واجهة بشرية (HID) Human Interface Device (مما يسمح له بالعمل حتى مع إيقاف تشغيل أجهزة التخزين القابلة للإزالة).
ثم يبدأ في حقن ضغطات المفاتيح لتثبيت حمولات البرامج الضارة على الأنظمة المخترقة.
الهدف النهائي لـ FIN7 في مثل هذه الهجمات هو الوصول إلى شبكات الضحايا ونشر برامج الفدية (بما في ذلك BlackMatter و REvil) داخل شبكة مخترقة باستخدام أدوات مختلفة، بما في ذلك Metasploit و Cobalt Strike و Carbanak الضارة والبرامج النصية Griffon backdoor و PowerShell النصية.
تم دفع البرامج الضارة باستخدام دمى الدببة Malware pushed using teddy bears
تأتي هذه الهجمات في أعقاب سلسلة أخرى من الحوادث التي حذرها مكتب التحقيقات الفيدرالي منذ حوالي عامين عندما انتحل مشغلو FIN7 شخصية Best Buy وأرسلوا حزمًا مماثلة مع محركات أقراص فلاش ضارة عبر USPS إلى الفنادق والمطاعم وشركات البيع بالتجزئة.
بدأت التقارير عن مثل هؤلاء المهاجمين بالظهور مرة أخرى في فبراير 2020. وذكرت بعض الأهداف أيضًا أن المتسللين أرسلوا بريدًا إلكترونيًا أو اتصلوا للضغط عليهم لتوصيل محركات الأقراص بأنظمتهم.
بدءًا من مايو 2020 على الأقل، تضمنت الحزم الخبيثة التي أرسلتها FIN7 أيضًا عناصر مثل دمى الدببة teddy bears المصممة لخداع الأهداف لتقليل حذرهم.
تُعرف الهجمات مثل تلك التي حاولت FIN7 بها باسم HID أو هجمات محرك أقراص USB، ولا يمكن أن تنجح إلا إذا كان الضحايا على استعداد لتوصيل أجهزة USB غير معروفة بمحطات العمل الخاصة بهم أو تم خداعهم لها.
يمكن للشركات الدفاع ضد مثل هذه الهجمات من خلال السماح لموظفيها بتوصيل أجهزة USB فقط بناءً على معرف الأجهزة أو إذا تم فحصها من قبل فريق الأمان الخاص بهم.
تأتي هذه الهجمات في أعقاب سلسلة أخرى من الحوادث التي حذرها مكتب التحقيقات الفيدرالي منذ حوالي عامين عندما انتحل مشغلو FIN7 شخصية Best Buy وأرسلوا حزمًا مماثلة مع محركات أقراص فلاش ضارة عبر USPS إلى الفنادق والمطاعم وشركات البيع بالتجزئة.
بدأت التقارير عن مثل هؤلاء المهاجمين بالظهور مرة أخرى في فبراير 2020. وذكرت بعض الأهداف أيضًا أن المتسللين أرسلوا بريدًا إلكترونيًا أو اتصلوا للضغط عليهم لتوصيل محركات الأقراص بأنظمتهم.
بدءًا من مايو 2020 على الأقل، تضمنت الحزم الخبيثة التي أرسلتها FIN7 أيضًا عناصر مثل دمى الدببة teddy bears المصممة لخداع الأهداف لتقليل حذرهم.
تُعرف الهجمات مثل تلك التي حاولت FIN7 بها باسم HID أو هجمات محرك أقراص USB، ولا يمكن أن تنجح إلا إذا كان الضحايا على استعداد لتوصيل أجهزة USB غير معروفة بمحطات العمل الخاصة بهم أو تم خداعهم لها.
يمكن للشركات الدفاع ضد مثل هذه الهجمات من خلال السماح لموظفيها بتوصيل أجهزة USB فقط بناءً على معرف الأجهزة أو إذا تم فحصها من قبل فريق الأمان الخاص بهم.
