Лаборатория Касперского опубликовала отчет, посвященный выявленному вредоносу USBCulprit, разработанному китайской APT Cycldek.
Cycldek — она же Hellsing и Goblin Panda — китайская APT, нацеленная, в основном, на страны Юго-Восточной Азии. Первые признаки активности Cycldek относятся к 2013 году. Имеет пересечение с другой китайской группой Naikon, работающей на разведку НОАК. И обе группы имеют пересечения с китайской же APT 30. От себя заметим, что это уже не первый случай, когда хакеры выступают единым организованным фронтом. Но, скорее всего, группы просто шарят некоторую инфраструктуру и инструментарий.
По мнению Лаборатории, Cycldek состоит из двух подразделений, каждое из которых использует отличающиеся методы работы. Например вредоносы, разработанные на общей основе, но имеющие различия как в коде и используемой инфраструктуре, так и в векторах атаки.
Одним из инструментов, используемых Cycldek, является ранее не описанный вредонос под названием USBCulprit, который использовался с 2014 года. Его последние версии появились в конце 2019. Он предназначен для атак на физически изолированные (air-gapped) сети.
USBCulprit способен собирать интересующие атакующих документы и сохранять их на подключенный к скомпрометированной системе USB-носитель, а также распространяться через него.
После сканирования зараженной машины на предмет наличия нужных документов, вредонос группирует их в зашифрованные архивы RAR. При подключении нового USB-носителя, USBCulprit проверяет есть ли уже на нем украденные файлы, и если нет, то создает каталог $Recyc1e.Bin, в который и скидывает данные. Управляющие команды и обновления malware также получает через USB.
Самой интересной особенностью USBCulprit является то, что судя по ряду признаков, для его развертывания в атакуемой air-gapped сети необходимо участие человека. То есть «шпион», с заряженным USB-носителем заражает интересующую сеть, а через некоторое время с помощью такой же флешки производит эксфильтрацию собранной конфиденциальной информации.