氣隙計算機，簡單來說，即完全斷網的計算機設備。攻擊氣隙計算機即在PC設備不聯網的情況下入侵獲取數據。近幾年，這種攻擊方式對人們來說或許並不陌生，來自以色列內蓋夫本古裏安大學的網絡安全研究人員曾發現多種攻擊手段，攻擊者可在斷網的情況下獲取設備數據，比如利用屏幕亮度、散熱風扇、電腦熱量等。

近日，據卡巴斯基發表的一項最新研究顯示，研究人員發現一種新型工具，用以竊取氣隙設備的敏感信息。研究發現的這個新型工具，被命名爲USBCulprit，依靠USB媒體提取用戶數據。

該間諜工具USBCulprit由APT組織Cycldek開發，主要活動在於開展內網橫移和信息竊取攻擊，目標對象是越南、泰國和老撾的政府機構。

將數據提取到可移動驅動器

卡巴斯基在分析一款名爲NewCore的惡意軟件時發現，該惡意軟件存在兩個不同的變體，分別爲BlueCore和RedCore，它們在代碼和基礎結構方面相似。但不同的是 RedCore有鍵盤記錄程序和RDP記錄程序，這可以捕獲通過RDP連接到系統的用戶的詳細信息。

研究人員認爲，每種惡意軟件的活動位置重心有所不同。BlueCore則主要針對越南，並在老撾和泰國也設立站點，而RedCore在開始時專注于越南，在2018年底轉移到了老撾。”

BlueCore和RedCore下載了各種其他工具來進行植入，比如HDoor、JsonCookies和ChromePass等，這有利於開展橫向移動，並從受感染的系統中提取信息。

其中，最主要的是一種工具就是前文提及的USBCulprit惡意軟件，它能夠掃描多個路徑，並收集具有特定擴展名的文檔，比如* .pdf; *.doc; *.wps; * docx; * ppt; *.xls; *.xlsx; * .pptx; *.rtf，並將其導出到連接的USB驅動器。

而且，該惡意軟件經過編程，可自我複製到某些可移動驅動器，所以每次將受感染的USB驅動器插入一臺計算機時，該惡意軟件就可以橫向移動到其他氣隙系統。

根據卡巴斯基進行的遙測分析發現，二進制的第一個實例可以追溯到2014年，並在去年年底記錄了最新的樣本。

初始感染機制主要依賴於惡意二進制文件對合法防病毒組件的僞造，在進行相關信息收集之前以所謂的DLL搜索順序劫持方式加載USBCulprit，然後以加密的RAR存檔形式保存，並將數據轉移到連接的可移動設備。

研究人員說：“惡意軟件的目標之一就是從氣隙設備中獲取數據，儘管其中沒有任何的網絡通信，僅使用可移動媒體就可以作爲傳輸入站和出站數據的一種方式。”

最後，對比這兩種惡意軟件之間的相似之處和不同之處，可以看出背後的運營者在共享代碼和基礎結構，並且在一個較大的組織運營下作爲兩個不同的分支機構同時運行。

參考鏈接：

新型USBCulprit間諜工具竊取了氣隙計算機數據

*本文作者：Sandra1432，轉載請註明來自FreeBuf.COM