تهدید جدیدی تحت عنوان TetrisPhantom از درایوهای USB امن در معرض خطر استفاده کرده و سیستم های سازمانی در منطقه آسیا و اقیانوسیه را هدف قرار میدهد.
درایوهای امن USB فایل ها را در یک بخش رمز شده از دستگاه ذخیره کرده و برای انتقال امن داده ها بین سیستم ها استفاده می شود.
دسترسی به بخش حفاظت شده از طریق یک نرم افزار سفارشی که محتوا را رمزگشایی می کند، ممکن است. یکی از این نرم افزارها UTetris.exe نام دارد.
محققیان امنیتی ورژن های تروجان شده ای از این برنامه را کشف کرده اند که در یک حمله روی درایورهای امن USB قرار گرفته اند و طی سالهای اخیر در حال اجرا بوده و سازمانهای مختلفی را هدف قرار داده اند. طبق آخرین بررسی های کسپرسکی، TetrisPhantom از ابزارهای متنوع، دستورات و ماژولهای بدافزاری استفاده می کند و نشان دهنده این است که یک گروه تهدید پیچیده آن را هدایت می کند.
جزییات حمله
کسپرسکی جزییاتی از این حمله را منتشر کرده است. این حمله با اپلیکیشن تروجان شده Utetris شروع شده و روی سیستم هدف یک payload بنام AcroShell اجرا می کند. AcroShell یک خط ارتباطی بین دستورات مهاجم و سرور کنترل ایجاد کرده و می تواند payloadهای اضافه تری فراخوانی و اجرا کند تا مستندات و فایل های حساس را به سرقت برده و جزییات خاصی از درایو USB جمع آوری کند.
مهاجمان همچنین از اطلاعات جمع آوری شده از این راه برای جستجو و توسعه بدافزار دیگری بنام XMKR و UTetris.exe تروجان شده، استفاده می کنند. از قابلیت های بدافزار XMKR می توان به سرقت فایل ها برای اهداف جاسوسی و نوشتن داده روی درایو USB اشاره کرد.
اطلاعات درون USB در معرض خطر زمانی که به سیستم متصل به اینترنتی با AcroShell وصل شود، روی سرور مهاجم استخراج خواهد شد.
کسپرسکی دو نسخه مختلف اجرایی Utetris را آنالیز و بررسی کرد که یکی از آنها از سپتامبر تا اکتبر 2022 و دیگری در شبکه های سازمانهای دولتی مختلف از اکتبر 2022 تاکنون استفاده می شود.
به گفته کسپرسکی این حملات در طی این سالها ادامه دار بوده و تمرکز اصلی آن جاسوسی و یک عملیات هدفمند بوده است.
منبع:
https://www.bleepingcomputer.com