___

Лаборатория Касперского опубликовала отчет, посвященный выявленному вредоносу USBCulprit, разработанному китайской APT Cycldek. Cycldek, она же Hellsing и Goblin Panda, - китайская APT, нацеленная, в основном, на страны Юго-Восточной Азии. Первые признаки активности Cycldek относятся к 2013 году. Имеет пересечение с другой китайской группой Naikon, работающей на разведку НОАК. И обе группы имеют пересечения с китайской же APT 30. Короче, зоопарк, как обычно. Но, скорее всего, группы просто шарят некоторую инфраструктуру и инструментарий. По мнению Касперских, Cycldek состоит из двух подразделений, каждое из которых использует отличающиеся методы работы. Например, вредоносы, разработанные на общей основе, но имеющие различия как в коде и используемой инфраструктуре, так и в векторах атаки. Одним из инструментов, используемых Cycldek, является ранее не описанный вредонос под названием USBCulprit, который использовался с 2014 года, а последние версии появились в конце 2019. А предназначен он для атак на физически изолированные (air-gapped) сети, все как мы любим. USBCulprit способен собирать интересующие атакующих документы и сохранять их на подключенный к скомпрометированной системе USB-носитель, а также распространяться через него сам. После сканирования зараженной машины на предмет наличия нужных документов, вредонос группирует их в зашифрованные архивы RAR. При подключении нового USB-носителя, USBCulprit проверяет есть ли уже на нем украденные файлы, и если нет, то создает каталог "$Recyc1e.Bin", в который и скидывает данные. Управляющие команды и обновления malware также получает через USB (впрочем, для атакующих физически изолированные сети вредоносов это стандартный прием). Самой интересной для нас особенностью USBCulprit является то, что судя по ряду признаков, для его развертывания в атакуемой air-gapped сети необходимо участие человека. То есть шпион (или разведчик, с какой стороны посмотреть), с заряженным USB-носителем заражает интересующую сеть, а через некоторое время с помощью такой же флешки производит эксфильтрацию собранной конфиденциальной информации. Настоящий детектив.