黑客郵寄惡意U盤攻擊美國國防公司

聯邦調查局 (FBI) 在最近更新的緊急警報中警告美國公司，出于經濟動機的 FIN7網絡犯罪組織正在通過包含惡意USB設備的軟件包瞄準美國國防工業。

攻擊者正在郵寄包含帶有LilyGO標志的“BadUSB”或“Bad Beetle USB”設備的包裹，這些設備通常在網絡上出售。

自2021年8月起，這些包裹已通過美國郵政服務(USPS)和聯合包裹服務(UPS)郵寄給運輸和保險行業的企業，以及從2021年11月開始寄給美國國防相關公司。

FIN7運營商冒充亞馬遜和美國衛生與公眾服務部(HHS)，誘騙目標打開包裹并將USB驅動器連接到他們的系統。自8月以來，FBI收到的報告稱，這些惡意包裹還包含有關COVID-19指南或偽造禮品卡的信件，以及偽造的感謝信，具體取決于冒充的實體。目標將USB驅動器插入他們的計算機后，它會自動注冊為人機接口設備 (HID) 鍵盤(即使在可移動存儲設備關閉的情況下也可以運行)。然后它開始注入以在受感染的系統上安裝惡意軟件。

FIN7在這些攻擊中的最終目標是訪問受害者的網絡并使用各種工具在受感染的網絡中部署勒索軟件，包括Metasploit、Cobalt Strike、Carbanak惡意軟件、Griffon后門和PowerShell腳本。

攻擊流示意圖（Trustwave）

曾使用泰迪熊來推送惡意軟件

這些攻擊是在兩年前FBI警告的另一系列事件之后發生的， 當時FIN7運營商冒充百思買，并通過USPS將帶有惡意閃存驅動器的類似包裹郵寄給酒店、餐館和零售企業。

此類攻擊者的報告于2020年2月開始浮出水面。一些目標還報告說，黑客通過電子郵件或電話向他們施壓，要求他們將U盤插入到他們的電腦。

至少從2020年5月開始，FIN7發送的惡意包裹還包括旨在誘騙目標降低警惕的泰迪熊等物品。像FIN7所嘗試的攻擊被稱為HID或USB驅動攻擊，只有當受害者愿意或被誘騙將未知USB設備插入其電腦時，它們才能成功。

各大公司可以通過允許其員工僅根據其USB設備硬件ID連接或需要經過安全團隊審查來防御此類攻擊。