חוקרי אבטחת מידע מציינים גידול של פי שלושה בנוזקות המופצות דרך כונני USB במחצית הראשונה של 2023. דוח חדש של חברת Mandiant מתאר כיצד נצפו השנה שתי מתקפות נוזקה שבוצעו באמצעות USB: אחת בשם Sogu המיוחסת לקבוצת ריגול סייבר סינית בשם TEMP.HEX והשניה בשם Snowydrive המיוחסת לקבוצת UNC4698 המכוונת מתקפות סייבר לחברות נפט וגז באסיה.
בנובמבר 2022 דיווחה חברת Mandiant על מתקפות סייבר של China-nexus אשר עשו שימוש בהתקני USB כדי להדביק ישויות בפיליפינים, בארבע משפחות נוזקה שונות. כמו כן, בינואר 2023 חשף צוות Unit 42 של Palo Alto Network גרסת PlugX המסתתרת בכונני USB ומדביקה מחשבי Windows אליהם הם מחוברים. Mandiant טוענת כי Sogu הינו כיום מסע מתקפות הסייבר האגרסיבי ביותר של ריגול סייבר בעזרת USB, המכוון לתעשיות רבות ברחבי העולם ומנסה לגנוב נתונים ממחשבים נגועים.
הקורבנות של נוזקות Sogu ממוקמות בארצות הברית, צרפת, בריטניה, איטליה, פולין, אוסטריה, אוסטרליה, שוויץ, סין, יפן, אוקראינה, סינגפור, אינדונזיה והפיליפינים. רוב הקורבנות שייכים למגזרי התרופות, ה- IT, אנרגיה, תקשורת, בריאות ולוגיסטיקה. נוזקת Sogu טוענת C shellcode לזיכרון באמצעות חטיפת פקודות DLL, מה שמחייב להערים על הקורבן כך שיפעיל קובץ לגיטימי. Sogu מבססת נוכחות והתמדה במערכת המחשוב הנגועה על ידי יצירת מפתח הפעלה של הרישום ומשתמשת ב- Windows Task Scheduler כדי להבטיח שהיא פועלת באופן קבוע. לאחר מכן משחררת הנוזקה קובץ אצווה אל RECYCLE.BIN המסייע בסיור במערכת, סריקת המחשב הנגוע עבור מסמכי MS Office, קבצי PDF וקבצי טקסט אחרים העשויים להכיל נתונים יקרי ערך. קבצים שנמצאו על ידי Sogu מועתקים לשתי ספריות, אחת בכונן C:\ של המארח ואחת בספריית העבודה בכונן ה- USB וכן, מתבצעת הצפנה באמצעות base64. קבצי המסמכים עוברים בסופו של דבר לשרת C2 דרך TCP או UDP, באמצעות בקשות HTTP או HTTPS. נוזקת Sogu גם תומכת בביצוע פקודות, פתיחת קבצים, הפעלת שולחן עבודה מרוחק, צילום צילומי מסך מהמחשב הנגוע, הגדרת reverse shell ורישום פעילות מקשים. כל הכוננים המחוברים למערכת המחשוב הנגועה יקבלו אוטומטית עותק של קובץ החדירה הראשוני של Sogu כדי לאפשר תנועה במערכת.
Snowydrive הינה נוזקה המדביקה מחשבים בדלת אחורית, המאפשרת לפושעי הסייבר להפעיל עומסים שרירותיים דרך שורת הפקודה של Windows, לשנות את הרישום ולבצע פעולות בקבצים ובספריות. גם במקרה זה מרומה הקורבן להפעיל קובץ הפעלה שנראה לגיטימי בכונן USB, מה שמפעיל את החילוץ והביצוע של רכיבי הנוזקה הנמצאים בתיקייה בשם Kaspersky. הרכיבים לוקחים על עצמם תפקידים ספציפיים כמו ביסוס התמדה במערכת הנגועה, התחמקות מזיהוי, הפעלת דלת אחורית והפצת נוזקות דרך כונני USB שחוברו לאחרונה. Snowydrive הינה דלת אחורית הנטענת בתהליך של CUZ.exe, שהיא תוכנה לגיטימית לפתיחת קבצי ארכיון. הדלת האחורית תומכת בפקודות רבות המאפשרות פעולות בקבצים, חילוץ נתונים, reverse shell, ביצוע פקודות וסיור במערכת הנגועה. לצורך התחמקות משתמשת הנוזקה ב- DLL זדוני הנטען על ידי GUP.exe – עדכון לגיטימי של Notepad++, כדי להסתיר סיומות קבצים וקבצים ספציפיים המסומנים ב- system או hidden.
בעוד שמתקפות USB דורשות גישה פיזית למחשבי היעד כדי להשיג חדירה למערכת המחשוב והדבקתה בנוזקות, יש להן יתרונות ייחודיים השומרים אותן רלוונטיות ומגמתיות ב- 2023, כפי שמדווחת Mandiant. היתרונות כוללים עקיפת מנגנוני אבטחה, התגנבות, גישה ראשונית לרשתות ארגוניות ויכולת להדביק מערכות מחשוב המבודדות מהרשת. יש לציין כי בהתחשב בהתפשטות האקראית והאופורטוניסטית של הדלתות האחוריות הללו, כל מערכת עם יציאת USB יכולה להיות מטרה.
