利用SOGU和SNOWYDRIVE恶意软件瞄准全球目标的恶意USB驱动器

使用受感染的 USB 感染驱动器作为初始访问向量的网络攻击在 2023 年上半年增加了三倍，

这是根据 Mandiant 的最新调查结果得出的，该调查详细介绍了针对世界各地公共和私营部门实体的两项此类活动——SOGU和SNOWYDRIVE 。

这家谷歌旗下的威胁情报公司表示，SOGU 是“最流行的使用 USB 闪存驱动器的基于 USB 的网络间谍攻击，也是针对全球垂直行业公共和私营部门组织的最激进的网络间谍活动之一”。

该活动归因于一个名为 TEMP.Hex 的中国集群，该集群也以 Camaro Dragon、Earth Preta 和 Mustang Panda 的名称进行追踪。目标包括欧洲、亚洲和美国的建筑和工程、商业服务、政府、卫生、交通和零售

Mandiant 详细介绍的感染链与 Check Point 发现的另一场 Mustang Panda 活动在战术上存在共性，该活动揭开了一种名为WispRider的自我传播恶意软件的面纱，该恶意软件通过受损的 USB 驱动器进行传播，并可能破坏气隙系统。

这一切都始于插入计算机的恶意 USB 闪存驱动器，导致PlugX（又名 Korplug）的执行，然后解密并启动名为 SOGU 的基于 C 的后门，该后门会泄露感兴趣的文件、击键和屏幕截图。

SNOWYDRIVE 针对亚洲石油和天然气组织#

第二个利用 USB 渗透机制的集群是 UNC4698，该集群专门挑选了亚洲的石油和天然气组织来传播 SNOWYDRIVE 恶意软件，以便在被黑系统上执行任意有效负载。

Mandiant 研究人员 Rommel Joven 和 Ng Choon Kiat 表示：“一旦加载 SNOWYDRIVE，它就会在主机系统上创建一个后门，使攻击者能够远程发出系统命令。” “它还会传播到其他 USB 闪存驱动器并在整个网络中传播。”

在这些攻击中，受害者被引诱点击伪装成合法可执行文件的诱杀文件，从而激活一系列恶意操作，首先是建立立足点的滴管，然后执行 SNOWYDRIVE 植入程序。

后门的一些功能包括执行文件和目录搜索、上传和下载文件以及启动反向 shell。

研究人员表示：“组织应优先考虑对 USB 驱动器等外部设备的访问实施限制。” “如果这是不可能的，他们至少应该在将这些设备连接到内部网络之前扫描这些设备是否存在恶意文件或代码。”