使用感染的usb感染驱动器作为初始接入载体的网络攻击在2023年上半年增加了三倍，

这是根据Mandiant的新发现，它详细描述了两项这样的运动–SOGU和SNOWYDRIVE–针对世界各地的公共和私营部门实体。

谷歌旗下的威胁情报公司表示，sogu是“使用usb闪存驱动器进行的最普遍的基于usb的网络间谍攻击，也是针对全球各行业垂直机构的最具攻击性的网络间谍活动之一”。

这次活动被归因于一个名为TEMP.Hex的中国集群，它还被命名为Camaro Drag、Earth Preta和Mustang Panda。目标包括在欧洲、亚洲和美国的建筑和工程、商业服务、政府、卫生、运输和零售。

由Mandiant详细的感染链展品战术共性与另一个野马熊猫运动发现的检查点，揭开了所谓的WispRider，通过妥协的USB驱动器和潜在的突破空气间隙系统传播的自我传播的恶意软件应变。

这一切都始于插入计算机的恶意USB闪存驱动器，导致PlugX（又名Korplug）的执行，然后解密并启动一个基于C的后门称为SOGU，exfilters感兴趣的文件，击键和屏幕截图。

SNOYDRIVE的目标是亚洲的石油和天然气组织

利用USB渗透机制的第二个集群是UNC4698，它挑出了亚洲的石油和天然气组织，提供SNOWYDRIVE恶意软件，在被黑客的系统上执行任意有效载荷。

Mandiant研究人员Rommel Joven和Ng Choon Kiat说：“一旦SNOWYDRIVE被加载，它就会在主机系统上创建一个后门，使攻击者能够远程发布系统命令。”“它还传播到其他USB闪存驱动器，并传播到整个网络。”

在这些攻击中，受害者被诱使点击一个伪装为合法可执行文件的引导捕获文件，从而启动一系列恶意操作，首先是建立立足点的滴管，然后执行SNOWYDRIVE植入。

后门的一些功能包括执行文件和目录搜索、上载和下载文件以及启动反向shell。

研究人员说：“组织应该优先实施对外部设备(如USB驱动器)的访问限制。”“如果这是不可能的，他们至少应该扫描这些设备的恶意文件或代码，然后再连接到他们的内部网络。”