Американские военные хакеры атаковали

Microsoft обнаружила, что опасный Windows-червь проник в сотни корпоративных сетей.

Как сообщает BleepingComputer, редмондский гигант в частном порядке уведомил компании, подписавшиеся на Microsoft Defender for Endpoint (opens in a new tab), о своих выводах. Консультант по безопасности пояснил, что, хотя вредоносное ПО (названное Raspberry Robin) еще не использовалось, было замечено, что оно подключается к различным адресам в сети Tor.

Raspberry Robin был впервые обнаружен в конце прошлого года, когда исследователи Red Canary обнаружили «кластер вредоносной активности». Вредоносное ПО обычно распространяется в автономном режиме через зараженные USB-накопители. Проанализировав зараженный USB-накопитель, исследователи обнаружили, что червь распространяется на новые устройства через вредоносный файл .LNK.

неизвестная угроза

Как только жертва подключает USB-ключ, червь запускает новый процесс через cmd.exe и запускает файл на скомпрометированном терминале (открывается в новой вкладке).

По словам исследователей, для доступа к своему серверу управления и контроля (C2) червь использует стандартный установщик Microsoft (msiexec.exe). Они предполагают, что сервер (откроется в новой вкладке) размещен на скомпрометированном NAS-устройстве QNAP, а выходные узлы TOR используются в качестве дополнительной инфраструктуры C2.

Эксперты по кибербезопасности Sekoia также наблюдали это, когда в конце прошлого года использовали устройства QNAP NAS в качестве C2-серверов.

«Хотя msiexec.exe загружает и запускает законные установочные пакеты, злоумышленники также используют его для распространения вредоносных программ», — говорится в отчете. «Raspberry Robin использует msiexec.exe для попытки связи из внешней сети с вредоносным доменом в целях C2».

Исследователи еще не приписали вредоносное ПО конкретному субъекту угрозы и не уверены, на что именно нацелено вредоносное ПО. В настоящее время, поскольку он активно не используется, любой может догадаться.

«Мы также не знаем, почему Raspberry Robin устанавливает вредоносную DLL», — заявили исследователи несколько месяцев назад. «Одна из гипотез состоит в том, что это может быть попытка установить стойкость в зараженной системе, хотя для подтверждения этой гипотезы необходима дополнительная информация».

  • Отслеживайте входящий и исходящий трафик с помощью лучших брандмауэров на рынке

Через BleepingComputer (откроется в новой вкладке)

Поделиться