Червь Nasty Windows распространяется по сотням сетей через зараженные USB-накопители
4 июля 2022 г.Майкрософт обнаружила, что опасный червь для Windows проник в сотни корпоративных сетей.
Как сообщает BleepingComputer, редмондский гигант в частном порядке уведомил компании, подписавшиеся на Microsoft Defender for Endpoint своих выводов. В бюллетене по безопасности поясняется, что хотя вредоносное ПО (названное Raspberry Robin) еще не было использовано, оно было замечено подключение к нескольким адресам в сети Tor.
Raspberry Robin впервые был обнаружен в конце прошлого года, когда исследователи из Red Canary обнаружили «кластер вредоносной активности». Вредоносное ПО обычно распространяется в автономном режиме через зараженные USB-накопители. Проанализировав зараженный флэш-накопитель, исследователи обнаружили, что червь распространяется на новые устройства через вредоносный файл .LNK.
Неизвестный злоумышленник
Как только жертва подключает USB-накопитель, червь запускает новый процесс через cmd.exe и запускает файл на скомпрометированном endpoint.
Для доступа к своему серверу управления и контроля (C2), как утверждают исследователи, червь использует стандартный установщик Microsoft ( msiexec.exe). Они предполагают, что сервер размещен на скомпрометированном QNAP устройство NAS с выходными узлами TOR, используемыми в качестве дополнительной инфраструктуры C2.
В конце прошлого года эксперты по кибербезопасности Sekoia также наблюдали за использованием устройств QNAP NAS в качестве C2-серверов.
«В то время как msiexec.exe загружает и запускает законные установочные пакеты, злоумышленники также используют его для доставки вредоносного ПО», — говорится в отчете. «Raspberry Robin использует msiexec.exe, чтобы попытаться подключиться к вредоносному домену из внешней сети для целей C2».
Исследователи пока не связывают вредоносное ПО с конкретным злоумышленником и не совсем уверены, какова цель. вредоносных программ. Прямо сейчас, поскольку он не используется активно, об этом можно только догадываться.
«Мы также не знаем, почему Raspberry Robin устанавливает вредоносную DLL», — заявили исследователи несколько месяцев назад. «Одна из гипотез состоит в том, что это может быть попытка установить стойкость в зараженной системе, хотя для подтверждения этой гипотезы требуется дополнительная информация».
- Отслеживайте входящий и исходящий трафик с помощью лучших брандмауэров
Через BleepingКомпьютер
Оригинал