Tick是主要針對日本和韓國組織的網(wǎng)絡間諜活動組織。該組織以用各種定制惡意軟件進行攻擊活動而惡名昭彰，如Minzen、Datper、Nioupale(又名Daserf)和HomamDownloader。

最近，Unit 42察覺Tick組織目標為由韓國防務公司創(chuàng)建的特定類型的安全USB驅(qū)動器。USB驅(qū)動器及其管理系統(tǒng)具有遵循韓國安全指南的各種功能。安全USB驅(qū)動器的武器化是一種不常見的攻擊技術(shù)，可能是為了擴展到無法連接到公共互聯(lián)網(wǎng)的系統(tǒng)而實施的。另外，經(jīng)Unit 42研究表明，盡管惡意軟件創(chuàng)建時間為新版Windows投入使用后，但Tick在攻擊中使用的惡意軟件只會嘗試感染運行Microsoft Windows XP或Windows Server 2003的系統(tǒng)。這似乎表明他們有意針對安裝在沒有互聯(lián)網(wǎng)連接的系統(tǒng)上的舊版本的Microsoft Windows。在許多國家、政府、軍隊和國防承包商以及其他垂直行業(yè)因安全因素都采用空隙系統(tǒng)。

迄今暫未發(fā)現(xiàn)任何公開報道此類攻擊的情況，Unit 42根據(jù)收集的數(shù)據(jù)分析認為，這種攻擊不屬于任何其他威脅活動。雖然目前關(guān)于過往襲擊的描述還不完整，Unit 42仍根據(jù)他們的研究勾勒出了一下假設的攻擊情景：
1、Tick 組織以某種方式破壞了安全類型的USB驅(qū)動器，并將惡意文件加載到未知數(shù)量的驅(qū)動器內(nèi)。這些USB驅(qū)動器應該被韓國ITSCC（英文）認證為安全。
2、Tick組織創(chuàng)建了一個特定的惡意軟件，Unit 42稱之為SymonLoader，它以某種方式在舊系統(tǒng)上運行，并持續(xù)查找這些特定的USB驅(qū)動器。
3、SymonLoader專門針對Windows XP和Windows Server 2003系統(tǒng)。
4、如果SymonLoader檢測到存在特定類型的安全USB驅(qū)動器，它將嘗試使用直接訪問文件系統(tǒng)的API加載未知惡意文件。

在各種條件假設和代碼分析后，Unit 42 得出以下結(jié)論：
Tick組織使用木馬化合法應用程序誘騙受害者安裝第一階段惡意軟件，主要是HomamDownloader。在這項研究中，發(fā)現(xiàn)一個之前不為人知的加載程序惡意軟件被刪除，但不是HomamDownloader，這個惡意軟件多年前被用于惡意攻擊。HomamLoader需要連接到它的C2服務器以下載額外的有效負載，而SymonLoader則不同，它會在插入受損系統(tǒng)時嘗試從特定類型的安全USB驅(qū)動器中提取并安裝未知隱藏有效載荷。這種技術(shù)很少見，而且在其他攻擊中幾乎沒有報道。

雖然我們沒有隱藏在安全USB上的文件的副本，但我們有足夠多的信息來確定它很可能是惡意的。對一個安全的USB驅(qū)動器進行武器化是一種不常見的技術(shù)，并且很可能會破壞空隙系統(tǒng)，這些系統(tǒng)不會連接到公共互聯(lián)網(wǎng)的系統(tǒng)。一些行業(yè)或組織處于安全考慮引入空隙。另外，由于聯(lián)網(wǎng)的簡易更新解決方案，這些組織經(jīng)常使用過時的操作系統(tǒng)版本。當用戶無法連接到外部服務器時，他們傾向于依賴物理存儲設備進行數(shù)據(jù)交換?！?/p>

ice

收藏 海報分享