Новости: Растет активность вредоносного ПО, атакующего физически изолированные системы
22.06.2020

Растет активность вредоносного ПО, атакующего физически изолированные системы

Растет активность вредоносного ПО, атакующего физически изолированные системы Растет активность вредоносного ПО, атакующего физически изолированные системы

Специалисты «Лаборатории Касперского» указывают на рост активности вредоносного ПО USBCulprit, которое использует в своем арсенале группировка Cycldek. Группировка, атакующая компании разных секторов экономики, действует с 2013 года и приписывается руке китайских хакеров.

Для USBCulprit характерна возможность использования для атак на физически изолированные системы. Для успешного нападения необходимо физическое подключение зараженной флешки в недостаточно защищенный АРМ, даже изолированный от сети. USBCulprit может собирать и копировать на USB диск документы с определенными расширениями, выборочно копировать себя на съемный носитель в присутствии определенного файла, запускать файлы с заданным именем с подключенного USB накопителя (например, для саморасширения). В обиходе USBCulprit, наблюдаемом «Лабораторией Касперского» с 2014 года, обнаруживались уже несколько модификаций вредоносного ПО.

USBCulprit использует для заражения ПК дроппер, расположенный на USB носителе, который, в свою очередь, подгружает уже вредоносный DLL или в улучшенной версии – шифрованный DLL и загружаемый в расшифрованном виде только в память устройства. В именах файлов используются отсылки на ПО Trend Micro и других вендоров, что делает более сложным его обнаружение.

Весь путь заражения представлен на рисунке 1:

Рисунок1.PNG

Рисунок 1

РЕКОМЕНДАЦИИ

Эксперты группы компаний Angara напоминают, что крайне важно при планировании контура защиты учитывать все векторы атак. Отсутствие подключения к внешним сетям на ПК не дает гарантии его защищенности. В таких случаях важно не отказываться от антивирусного ПО и контроля внешних устройств, то есть использование полноценных решений Endpoint Protection Platform (EPP). Эксперты компании рекомендуют следующие EPP решения:

  • Kaspersky Endpoint Security,

  • Trend Micro Deep Security,

  • SecretNet Studio.

Кроме того, для критически важных систем необходимо прорабатывать политики доступа к ПК, контроля и использования внешних устройств.

По вопросам о защите АРМ и организации проработки политик ИБ можно обратиться к экспертам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.




Другие новости

Присоединиться к #AngaraTeam!