Червь Nasty Windows распространяется по сотням сетей через зараженные USB-накопители

Червь Nasty Windows распространяется по сотням сетей через зараженные USB-накопители

4 июля 2022 г.

Майкрософт обнаружила, что опасный червь для Windows проник в сотни корпоративных сетей.

Как сообщает BleepingComputer, редмондский гигант в частном порядке уведомил компании, подписавшиеся на Microsoft Defender for Endpoint своих выводов. В бюллетене по безопасности поясняется, что хотя вредоносное ПО (названное Raspberry Robin) еще не было использовано, оно было замечено подключение к нескольким адресам в сети Tor.

Raspberry Robin впервые был обнаружен в конце прошлого года, когда исследователи из Red Canary обнаружили «кластер вредоносной активности». Вредоносное ПО обычно распространяется в автономном режиме через зараженные USB-накопители. Проанализировав зараженный флэш-накопитель, исследователи обнаружили, что червь распространяется на новые устройства через вредоносный файл .LNK.

Неизвестный злоумышленник

Как только жертва подключает USB-накопитель, червь запускает новый процесс через cmd.exe и запускает файл на скомпрометированном endpoint.

Для доступа к своему серверу управления и контроля (C2), как утверждают исследователи, червь использует стандартный установщик Microsoft ( msiexec.exe). Они предполагают, что сервер размещен на скомпрометированном QNAP устройство NAS с выходными узлами TOR, используемыми в качестве дополнительной инфраструктуры C2.

В конце прошлого года эксперты по кибербезопасности Sekoia также наблюдали за использованием устройств QNAP NAS в качестве C2-серверов.

«В то время как msiexec.exe загружает и запускает законные установочные пакеты, злоумышленники также используют его для доставки вредоносного ПО», — говорится в отчете. «Raspberry Robin использует msiexec.exe, чтобы попытаться подключиться к вредоносному домену из внешней сети для целей C2».

Исследователи пока не связывают вредоносное ПО с конкретным злоумышленником и не совсем уверены, какова цель. вредоносных программ. Прямо сейчас, поскольку он не используется активно, об этом можно только догадываться.

«Мы также не знаем, почему Raspberry Robin устанавливает вредоносную DLL», — заявили исследователи несколько месяцев назад. «Одна из гипотез состоит в том, что это может быть попытка установить стойкость в зараженной системе, хотя для подтверждения этой гипотезы требуется дополнительная информация».

.

Через BleepingКомпьютер


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE