一种名为“TetrisPhantom”的新型复杂威胁一直在使用受损的安全 USB 驱动器来攻击亚太地区的政府系统。

安全 USB 驱动器将文件存储在设备的加密部分中，并用于在系统（包括气隙环境中的系统）之间安全地传输数据。

可以通过自定义软件访问受保护的分区，该软件根据用户提供的密码解密内容。UTetris.exe 就是此类软件之一，它捆绑在 USB 驱动器的未加密部分上。

安全研究人员在一场针对亚太地区政府的攻击活动中发现了部署在安全 USB 设备上的 UTetris 应用程序的木马版本，该攻击活动已经运行了至少几年。

根据 卡巴斯基最新的 APT 趋势报告，TetrisPhantom 使用各种工具、命令和恶意软件组件，表明威胁组织复杂且资源充足。

“该攻击包含复杂的工具和技术，包括基于虚拟化的恶意软件组件软件混淆、使用直接 SCSI 命令与 USB 驱动器进行低级通信、通过连接的安全 USB 驱动器进行自我复制以传播到其他气隙系统以及注入将代码写入 USB 驱动器上的合法访问管理程序中，该程序充当新计算机上恶意软件的加载程序。” – 卡巴斯基

攻击详情

卡巴斯基与 BleepingComputer 分享了更多详细信息，解释说，木马 Utetris 应用程序的攻击首先在目标计算机上执行名为 AcroShell 的有效负载。

AcroShell 与攻击者的命令和控制 (C2) 服务器建立通信线路，可以获取并运行额外的有效负载以窃取文档和敏感文件，并收集有关目标使用的 USB 驱动器的特定详细信息。

威胁行为者还使用通过这种方式收集的信息来研究和开发另一种名为 XMKR 的恶意软件和木马 UTetris.exe。

“XMKR 模块部署在 Windows 计算机上，负责破坏连接到系统的安全 USB 驱动器，从而将攻击传播到潜在的气隙系统” – 卡巴斯基

XMKR 在设备上的功能包括窃取用于间谍目的的文件，并将数据写入 USB 驱动器。

当存储设备插入感染 AcroShell 的联网计算机时，受损 USB 上的信息就会被泄露到攻击者的服务器。

卡巴斯基检索并分析了两个恶意 Utetris 可执行变体，其中一个在 2022 年 9 月至 10 月期间使用（版本 1.0），另一个从 2022 年 10 月至今部署在政府网络中（版本 2.0）。卡巴斯基表示，这些攻击已经持续了至少几年，间谍活动一直是俄罗斯方块幻影的关注重点。研究人员观察到政府网络上有少量感染，表明存在有针对性的操作。