随着科技的快速发展，网络安全问题日益凸显，尤其是移动存储设备的安全隐患，再次成为学界和产业界关注的焦点。 USB驱动器的普遍性和易用性使其成为攻击者的理想目标，尤其是在企业环境下。在这一背景下，CyberProof公司的MDR分析师揭示了一种新型的通过受感染USB设备传播的 多阶段加密货币挖矿攻击，这一事件不仅重振了对USB威胁的关注，也为安全防护带来了新的挑战。

攻击的复杂性

这起事件最初似乎是一起简单的USB病毒感染事件，但 很快演变为一种复杂的恶意软件攻击链。根据报告，CyberProof的分析师警告，攻击源自一个经过感染的USB设备，可能利用 DLL搜索顺序劫持和 PowerShell的多阶段攻击，最终导致了后门的感染并发起了加密货币的挖矿活动。调查结果显示，该恶意软件与 XMRig/Zephyr挖矿活动有着密切的关联，且其战术与早期全球性的攻击行动惊人地相似。研究人员指出， “该恶意软件在挖矿攻击的最后阶段被组织的EDR（终端检测与响应）系统拦截”， 这才得以阻止了完整攻击的执行。

全球关联活动

实际上，阿塞拜疆CERT于2024年10月就已报道过类似的活动，他们发现了一项名为 “Universal Mining”的大规模计划。正如CyberProof所提到的，阿塞拜疆CERT也公开了这一大规模的国际加密货币挖矿计划的信息。这些遥测数据显示，这种类似蠕虫的受感染USB传播已经蔓延到多个地区， 影响最为严重的行业包括金融、医疗、教育、制造、电信和石油天然气等。

随着对USB设备的依赖，企业的网络安全防护面临着前所未有的挑战，尤其是 针对USB设备的针对性攻击，它们通过伪装和社会工程学手法，诱使用户插入感染的USB设备，从而感染系统。

技术细节剖析

这次攻击的起始点通常是基于对USB设备上恶意 VBScript文件的执行。该脚本常常伪装成名称以“x”开头，后面随随机六位数字的文件，目的是 启动后续有效载荷。报告中进一步阐明：“随后通过命令提示符执行批处理文件，作为wscript的子进程... 注意xcopy.exe启动的过程，它将printui.exe从%system32%文件夹复制到新创建的 C:\Windows \System32路径。”

这种路径操作然后被用于 DLL搜索顺序劫持。恶意的printui.dll被旁加载到修改过的目录结构中，进而执行挖矿代码。值得庆幸的是，* 安全监控工具成功拦截了这一行为，这为事件处理提供了一线希望。

持续的安全挑战

尽管针对USB攻击的警告已经存在数十年，但 受感染的USB驱动器依然是威胁行为者的有效入侵载体。报告总结指出：“即使到2025年年中，源自受感染USB驱动器的加密货币挖矿攻击依然普遍存在，这强烈提醒我们一个基本的安全挑战。”这一现象显示，虽然网络安全技术不断进步，但攻击者的手段也在不断演变，更为复杂。

USB攻击并非孤立事件，其背后反映出的是更为广泛的网络安全风险及用户安全意识的重要性。企业应继续加大对员工的安全教育，增强对 社会工程学攻击、移动存储设备安全等方面的防范意识，确保在日常使用中，避免成为恶意攻击的牺牲品。

结语

USB威胁再次浮出水面，表明网络安全防护不能有任何懈怠，及时的更新安全策略、加强系统监测和员工培训都成为了维护网络安全的重中之重。随着攻击方式的不断演化，企业有必要持续关注和研究新兴的网络安全威胁，以便及时应对，保障数据安全和业务的正常运转。 注重安全不仅是技术问题，更是企业文化的根本。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！