届いたのはUSBメモリ？

• 今回の手口は米家電量販店（BestBuy）からの50ドルのギフトカードのプレゼントに見せかけた郵送物で確認された。
• 日頃の利用への感謝を記した手紙で、USBメモリ（に見えるデバイス）が同梱。ギフトカードが使用できる商品をメモリ中のリストから選ぶよう指示する内容。
• ZDnetの記者によれば、米国内のホスピタリティ企業で確認されたもので受け取った側がこれに気付き結果的に攻撃は失敗したという。

差し込むとマルウェア感染

TrustwaveがこのUSBデバイスを差し込んだ後に起こる事象について、解析した記事を公開した。
www.trustwave.com

• 外見はUSBメモリに見えるが、実際はマイクロコントローラー「ATMEGA32U4」が内蔵されたUSBデバイス。*1
• Windows PCに差し込むと仮想キーボードとして信頼されたデバイスに登録。
• 差し込み後にPowershellが起動し、外部サイトへ接続。外部サイトより複数のスクリプトファイルを呼び込む。
• スクリプト実行中、画面上では「最後に接続されたUSBデバイスが誤動作し、Windowsに認識されません」といったダイアログが表示され。
• C2サーバーにはユーザー名、システム権限、OS情報など接続されたPCの情報が送信。
• メインスクリプトは2分毎に呼び出され、サーバーから新しい指令を取得。

複数事例を確認とFBIが警告

• USBデバイスを用いた攻撃手法は2014年のBlackhat USA発表以降、ペネトレーションテストやレッドチーム演習などで目にする機会があるものの、実際の攻撃に使用されるケースは珍しい（この規模での悪用は初の可能性）と取り上げたTrustwaveをはじめ専門家らはコメントを寄せている。
• BadUSBは発表当時、国内でも話題になっていた。xtech.nikkei.com
• 公開されたIOCを通じ、Kasperskyのセキュリティ関係者らがFIN7グループによる攻撃との類似性を指摘。
• Bleeping Computerによれば、FBIは先週木曜日にFIN7がUSBデバイスの郵送を用いた方法をGRIFFONマルウェアの配信で使用しているとしてFlash Alertを公表。今回の手口は小売、外食、ホテルなどの業界の複数の企業に郵送されており、人事、情報システム、経営管理系の部門の従業員を対象としているとしてFBIは警告。
• FBI Seattleは不審なUSBメモリが郵送で届いた場合は最寄りのオフィスに連絡するようTwitterで呼びかけを行っている。

  Have you received an unsolicited USB like this in the mail? It may be an attempt to compromise your computer. If you receive a USB, please contact your local #FBI office. pic.twitter.com/Zu93rSJnyt

  — FBI Seattle (@FBISeattle) 2020年3月27日

更新履歴

• 2020年3月30日 AM 新規作成
• 2020年3月30日 AM 内臓マイコンの機種名が誤っていたため修正しました（誤：Arduino Leonardo ⇒ 正：ATMEGA32U4）