Федеральное бюро расследований предупредило американские компании о том, что финансово мотивированная группа киберпреступников FIN7 нацелена на оборонную промышленность США с помощью пакетов, содержащих вредоносные USB-устройства для развертывания программ-вымогателей.
Злоумышленники рассылали по почте пакеты, содержащие устройства «BadUSB» или «Bad Beetle USB» с логотипом LilyGO, обычно доступные для продажи в Интернете. Они использовали Почтовую службу США (USPS) и United Parcel Service (UPS) для отправки вредоносных пакетов предприятиям транспортной и страховой отраслей с августа 2021 года и оборонным фирмам, начиная с ноября 2021 года.
Операторы FIN7 выдавали себя за Amazon и Министерство здравоохранения и социальные службы США, чтобы обмануть жертв и заставить их открыть посылки и подключить USB к своим системам.
С августа в отчетах, полученных ФБР, говорится, что эти вредоносные пакеты также, якобы, содержат письма с рекомендациями по COVID-19 или поддельные подарочные карты и благодарственные письма.
После того, как цели подключают USB-накопитель к своим компьютерам, он автоматически регистрируется как клавиатура устройства с интерфейсом пользователя (HID), что позволяет ему работать даже при отключенных съемных устройствах хранения. Затем он начинает внедрять вредоносные программы на скомпрометированные системы.
Конечной целью FIN7 в таких атаках является доступ к сетям жертв и развертывание программ-вымогателей (включая BlackMatter и REvil) в скомпрометированной сети с использованием различных инструментов, включая Metasploit, Cobalt Strike, вредоносное ПО Carbanak, бэкдор Griffon и сценарии PowerShell.