一种名为“TetrisPhantom”的新型复杂威胁一直在使用受损的安全 USB 驱动器来攻击亚太地区的政府系统。
安全 USB 驱动器将文件存储在设备的加密部分中,并用于在系统(包括气隙环境中的系统)之间安全地传输数据。
可以通过自定义软件访问受保护的分区,该软件根据用户提供的密码解密内容。UTetris.exe 就是此类软件之一,它捆绑在 USB 驱动器的未加密部分上。
安全研究人员在一场针对亚太地区政府的攻击活动中发现了部署在安全 USB 设备上的 UTetris 应用程序的木马版本,该攻击活动已经运行了至少几年。
根据 卡巴斯基最新的 APT 趋势报告,TetrisPhantom 使用各种工具、命令和恶意软件组件,表明威胁组织复杂且资源充足。
“该攻击包含复杂的工具和技术,包括基于虚拟化的恶意软件组件软件混淆、使用直接 SCSI 命令与 USB 驱动器进行低级通信、通过连接的安全 USB 驱动器进行自我复制以传播到其他气隙系统以及注入将代码写入 USB 驱动器上的合法访问管理程序中,该程序充当新计算机上恶意软件的加载程序。” – 卡巴斯基
