Опасный червь для Windows проник в сотни корпоративных сетей, как обнаружила компания Microsoft.
Как сообщает BleepingComputer, гигант из Редмонда в частном порядке уведомил компании, которые подписались на Microsoft Defender for Endpoint (откроется в новой вкладке), о своих выводах. В рекомендациях по безопасности поясняется, что, хотя вредоносное ПО (под названием Raspberry Robin) еще не было использовано, было замечено его подключение к нескольким адресам в сети Tor.
Raspberry Robin был впервые обнаружен в конце прошлого года, когда исследователи Red Canary обнаружили «кластер вредоносной активности». Вредоносное ПО обычно распространяется оффлайн, через зараженные USB-накопители. Проанализировав зараженный USB-накопитель, исследователи обнаружили, что червь распространялся на новые устройства через вредоносный файл .LNK.
Неизвестная угроза
Как только жертва подключает USB-ключ, червь активирует новый процесс через cmd.exe и запускает файл на взломанном терминале (откроется в новой вкладке).
По словам исследователей, для доступа к серверу управления и контроля (C2) червь использует стандартный установщик Microsoft (msiexec.exe). Они предполагают, что сервер (откроется в новой вкладке) размещен на скомпрометированном NAS-устройстве QNAP, а выходные узлы TOR используются в качестве дополнительной инфраструктуры C2.
Эксперты Sekoia по кибербезопасности также наблюдали это, используя устройства QNAP NAS в качестве серверов C2 в конце прошлого года.
«Хотя msiexec.exe загружает и запускает законные установочные пакеты, злоумышленники также используют его для распространения вредоносного ПО», — говорится в отчете. «Raspberry Robin использует msiexec.exe для попытки подключения из внешней сети к вредоносному домену в целях C2».
Исследователи еще не связали вредоносное ПО с конкретным злоумышленником и не уверены, какова именно цель вредоносного ПО. В настоящее время, поскольку он активно не используется, можно только догадываться.
«Мы также не знаем, почему Raspberry Robin устанавливает вредоносную DLL», — заявили исследователи несколько месяцев назад. «Одна из гипотез заключается в том, что это может быть попыткой сохранить работоспособность зараженной системы, хотя для укрепления доверия к этой гипотезе необходима дополнительная информация».
- Отслеживайте входящий и исходящий трафик с помощью лучших межсетевых экранов на рынке.
Через BleepingComputer (откроется в новой вкладке)