中国网络间谍黑客利用USB设备攻击菲律宾实体

一名涉嫌与中国有关联的威胁行为者与菲律宾的一系列间谍袭击有关，这些袭击主要依赖USB设备作为最初的感染媒介。

Mandiant是谷歌云的一部分，正在以其未分类的名字来追踪该集群2001年3月。对入侵中使用的人工制品的分析表明，该活动可以追溯到2021年9月。

研究人员瑞安·托姆西克（Ryan Tomcik）、约翰·沃尔夫拉姆（John Wolfram）、汤米·达卡内（Tommy Dacanay）和杰夫·阿克曼（Geoff Ackerman）表示：“UNC4191行动影响了一系列公共和私营部门实体，主要在东南亚，并延伸至美国、欧洲和亚太地区”。

“然而，即使目标组织设在其他地点，UNC4191所针对的特定系统也被发现位于菲律宾”。

依赖受感染的USB驱动器传播恶意软件是不寻常的，如果不是新的话。树莓罗宾蠕虫（Raspberry Robin worm）已演变为后续攻击的初始访问服务，已知其使用USB驱动器作为入口。

威胁情报和事件响应公司表示，这些攻击导致部署了三个新的恶意软件家族，分别为MISTCLOAK、DARKDEW和BLUEHAZE，以及Ncat，后者是一个命令行网络实用程序，用于在受害者系统上创建反向外壳。

就MISTCLOAK而言，当用户将受损的可移动设备插入系统时，MISTCLOOK就会被激活，充当加密有效载荷DARKDEW的发射台，该有效载荷能够感染可移动驱动器，从而有效地传播感染。

研究人员解释说：“恶意软件通过感染插入受损系统的新的可移动驱动器进行自我复制，从而允许恶意有效负载传播到其他系统，并可能从空隙系统收集数据”。

DARKDEW滴管还用于启动另一个可执行文件（“DateCheck.exe”），这是一个被称为“Razer Chromium Render Process”的合法签名应用程序的重命名版本，可调用BLUEHAZE恶意软件。

BLUEHAZE是一个用C/C++编写的启动器，它通过启动一个Ncat副本来创建一个到硬编码命令和控制（C2）地址的反向shell，从而将攻击链向前推进。

研究人员表示：“我们认为，这项活动展示了中国为收集与中国政治和商业利益相关的情报而获取和保持与公共和私人实体的联系的行动”。