美國聯邦調查局周五警告說，勒索軟件團伙正在郵寄惡意的U盤，冒充美國衛生與公眾服務部(HHS)和亞馬遜集團，針對運輸、保險和國防行業進行勒索軟件感染攻擊。

聯邦調查局在發給各個組織的安全警報中說，FIN7--又名Carbanak或Navigator Group，是使用Carbanak后門惡意軟件進行攻擊的網絡犯罪團伙，其攻擊經常以獲取經濟利益為目的。

FIN7從2015年就已經開始存在了。最初，該團伙通過使用其定制的后門惡意軟件來維持對目標公司的持續訪問權限，以及使用間諜軟件來針對銷售點(PoS)系統進行攻擊而逐漸為民眾所熟知。它的攻擊目標往往是休閑餐廳、賭場和酒店。但在2020年，FIN7也開始涉足勒索軟件以及游戲領域，其攻擊活動經常會使用REvil或Ryuk作為有效攻擊載荷。

聯邦調查局說，在過去的幾個月里，FIN7將惡意的USB設備郵寄給美國公司，希望有人能夠把它插到驅動器上，然后利用惡意軟件來感染系統，從而為以后的勒索軟件攻擊做好準備。

聯邦調查局在安全警報中說："自2021年8月以來，聯邦調查局收到了幾個裝有USB設備的包裹，調查也發現運輸、保險和國防行業的美國企業也收到了這些快遞。”

郵寄的BadUSB設備

聯邦調查局補充說："這些包裹都是通過美國郵政服務和聯合包裹服務發送的。”

聯邦調查局說，攻擊者對這些包裹進行了偽裝，把它們偽裝成了與大流行病有關的物品，或者偽裝成來自亞馬遜的商品。包裹主要有兩種，那些模仿HHS的包裹通常附有提及COVID-19指南的信件，并附上一個USB;而那些偽裝成亞馬遜的包裹則會裝在一個有裝飾性的禮品盒中，其中包含一封具有欺詐性的感謝信、偽造的禮品卡和一個USB。

無論是哪種方式，這些包裹中都裝有LilyGO品牌的USB設備。

聯邦調查局說，如果目標相信所有了的裝飾品，并將其插入到了USB驅動器，這些設備就會進行一次BadUSB攻擊。BadUSB攻擊是利用了USB固件中的一個固有漏洞，該漏洞能夠使攻擊者對USB設備進行重新編程，使其能夠作為一個人機交互設備，即作為一個預裝了自動執行腳本的惡意USB鍵盤。重新編程后，USB可以被用來在受害者的電腦上執行惡意命令或運行惡意程序。

無論是BadUSB攻擊還是FIN7發動的攻擊都不是什么新鮮事。2020年，Trustwave SpiderLabs網絡安全研究團隊最初發現這些惡意USB驅動器被發送到了其中的一些客戶手中，這樣的惡意設備同樣包含在冒充亞馬遜和HHS的包裹中。最近發生的一次攻擊是2020年的一次攻擊，當時聯邦調查局同樣發布了一個公共警報，并將FIN7列為罪魁禍首。

如何預防BadUSB攻擊

你可能會認為，抵御惡意軟件攻擊的方法肯定是非常簡單的，不要把它們插進去就行了。然而，人類的本性就是這樣，一項又一項的研究表明，好奇心或利他主義(我要找出這是誰的，這樣我就可以把它還回去了)會對人的安全造成傷害并導致系統被接管。

盡管如此，你至少要說服人們克制住他們的好奇心，養成良好的行為習慣。Trustwave SpiderLabs的高級安全研究經理Karl Sigler周一告訴媒體，針對員工的安全意識培訓應該包含預防這種類型的攻擊的方法，并警告人們不要將任何不熟悉的設備連接到你的電腦上。

他說，端點保護軟件也可以幫助防止這些攻擊，它可以很好的保證用戶的安全性。

Sigler通過電子郵件說："這些攻擊都是由模擬USB鍵盤的U盤引發的，所以一個能夠監控命令執行的端點保護軟件應該能夠解決大多數問題。”

Sigler補充說，對于那些不需要使用USB配件的重要的系統，使用基于物理和軟件的USB端口阻止器也有助于防止這種攻擊。

ACA集團則創造了一個縮寫詞 "CAPs"，指的是所有的組織都應該積極監測網絡安全，防止勒索軟件攻擊的發生。CAPs指的是配置、訪問和補丁，而員工的安全意識及其他教育也是至關重要的。

進行配置管理 — 這樣可以有效減少攻擊者用來訪問你的系統端口的數量。許多攻擊之所以能夠成功，是因為安全設備、云配置等方面存在錯誤的配置。

限制人員訪問 - 減少攻擊者進入你系統內部的訪問點的數量。

及時打補丁 - 減少通過未知的端口進行攻擊的機會，這是修復安全漏洞的基礎。

本文翻譯自：https://threatpost.com/fin7-mailing-malicious-usb-sticks-ransomware/177541/如若轉載，請注明原文地址。