Специалисты «Лаборатории Касперского» указывают на рост активности вредоносного ПО USBCulprit, которое использует в своем арсенале группировка Cycldek. Группировка, атакующая компании разных секторов экономики, действует с 2013 года и приписывается руке китайских хакеров.
Для USBCulprit характерна возможность использования для атак на физически изолированные системы. Для успешного нападения необходимо физическое подключение зараженной флешки в недостаточно защищенный АРМ, даже изолированный от сети. USBCulprit может собирать и копировать на USB диск документы с определенными расширениями, выборочно копировать себя на съемный носитель в присутствии определенного файла, запускать файлы с заданным именем с подключенного USB накопителя (например, для саморасширения). В обиходе USBCulprit, наблюдаемом «Лабораторией Касперского» с 2014 года, обнаруживались уже несколько модификаций вредоносного ПО.
USBCulprit использует для заражения ПК дроппер, расположенный на USB носителе, который, в свою очередь, подгружает уже вредоносный DLL или в улучшенной версии – шифрованный DLL и загружаемый в расшифрованном виде только в память устройства. В именах файлов используются отсылки на ПО Trend Micro и других вендоров, что делает более сложным его обнаружение.
Весь путь заражения представлен на рисунке 1:
Рисунок 1
РЕКОМЕНДАЦИИ
Эксперты группы компаний Angara напоминают, что крайне важно при планировании контура защиты учитывать все векторы атак. Отсутствие подключения к внешним сетям на ПК не дает гарантии его защищенности. В таких случаях важно не отказываться от антивирусного ПО и контроля внешних устройств, то есть использование полноценных решений Endpoint Protection Platform (EPP). Эксперты компании рекомендуют следующие EPP решения:
-
Kaspersky Endpoint Security,
-
Trend Micro Deep Security,
-
SecretNet Studio.
Кроме того, для критически важных систем необходимо прорабатывать политики доступа к ПК, контроля и использования внешних устройств.
По вопросам о защите АРМ и организации проработки политик ИБ можно обратиться к экспертам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.