FBI 警告:米国の防衛産業を標的に悪意の USB デバイスが郵送されている

FBI: Hackers use BadUSB to target defense firms with ransomware

2022/01/07 BleepingComputer — 米連邦捜査局 (FBI) は、最近に更新された Flash Alert の中で、金銭的な動機を持つサイバー犯罪グループ FIN7 が、ランサムウェアを展開する悪意の USB デバイスが入ったパッケージを介して、米国の防衛産業を標的にしていると米国企業に警告した。この攻撃者たちは、LilyGO のロゴの付いた BadUSB/Bad Beetle USB デバイスが入ったパッケージを郵送している。

2021年8月以降は運輸業や保険業の企業に、2021年11月以降は防衛関連企業に、米国郵便公社 (USPS) および米国宅配便 (UPS) を介して悪意のパッケージは郵送されている。

侵入されたネットワークに BlackMatter/REvil ランサムウェア

FIN7 のオペレーターは、米国保健社会福祉省 (Department of Health & Human Services : HHS) や Amazon になりすまし、ターゲットを騙してパッケージを開封させ、USB メモリをシステムに接続させていた。8月以降に FBI に寄せられた報告によると、これらの悪意のパッケージには、COVID-19 ガイドラインに関する手紙や、成りすまし組織により偽造されたギフトカードや礼状などが入っているとのことだ。

ターゲットにより USB ドライブがコンピュータに接続されると、自動的に Human Interface Device (HID) Keyboard (リムーバブル・ストレージ・デバイスがオフになっても動作可能) としての登録が行われる。そして、侵入したシステムにマルウェア・ペイロードをインストールするための、キーストロークの注入が開始される。

一連の攻撃における FIN7 の最終目的は、被害者のネットワークにアクセスした後に、Metasploit/Cobalt Strike/Carbanak マルウェアや、Griffon バックドア、PowerShell スクリプトなどのツールを使用して、侵害したネットワーク内で BlackMatter/REvil ランサムウェア を展開することだ。

テディベアを使ったマルウェア

これらの攻撃は、2年前に FBI が警告した一連のインシデント事件に続くものだ。そのときには、FIN7 オペレーターが Best Buy に成りすまし、悪意のフラッシュ・ドライブが入った同様のパッケージを、USPS を介してホテル/レストラン/小売店などに郵送していた。

このような攻撃者の報告が表面化し始めたのは、2020年2月のことである。その中には、ハッカーが電子メールや電話で圧力をかけ、ドライブをシステムに接続させたという報告もあった。また、2020年5月以降に、FIN7 から送られてきた悪意のパッケージには、ターゲットを騙して警戒心を失わせるための Teddy Bears などのアイテムも含まれていた。

FIN7 が試みた攻撃は、HID 攻撃または USB ドライブ・バイ・アタックと呼ばれ、被害者が喜んで未知の USB デバイスをワークステーションに接続した場合、あるいは、騙されて接続した場合にのみ成功する。ユーザー企業は、このような攻撃を防ぐために、ハードウェア ID やセキュリティ・チームの審査を受けた USB デバイスのみを、従業員が接続できるようにすべきである。

USB デバイスは怖いですよね。この文章を書いている Macbook からは、USB サウンドと、LAN アダプタがつながっていますが、だいぶ前からディスク系は使っていないように思えます。それで、この記事にあるような状況になったら、つないでしまうのが人の心理なのでしょうか?関連しそうな記事としては、2021年6月に「Honeywell 調査:USB-based マルウェアが産業施設の脅威になっている」と、「サイバー・セキュリティとスマート・マニュファクチャリング」がありました。よろしければ、ご参照ください。

%d bloggers like this: