Kötü Windows solucanı, virüslü USB sürücüler aracılığıyla yüzlerce ağa yayılıyor
Solucanın arkasında kim varsa henüz onu kullanmıyor.
Kötü Windows solucanı, virüslü USB sürücüler aracılığıyla yüzlerce ağa yayılıyor
Microsoft, tehlikeli bir Windows solucanının yüzlerce şirket ağına girdiğini keşfetti.BleepingComputer tarafından bildirildiği üzere , Redmond devi , Endpoint için Microsoft Defender’a abone olan şirketleri özel olarak bilgilendirdi(yeni sekmede açılır)bulgularından. Güvenlik tavsiyesi, kötü amaçlı yazılımın (Raspberry Robin adlı) henüz kullanılmamış olmasına rağmen Tor ağındaki birden fazla adrese bağlandığının gözlemlendiğini açıkladı.
Ahududu Robin, ilk olarak geçen yıl Red Canary’den araştırmacıların bir “kötü niyetli etkinlik kümesi” keşfettiği zaman tespit edildi. Kötü amaçlı yazılım genellikle virüslü USB sürücüler aracılığıyla çevrimdışı olarak dağıtılır . Araştırmacılar, virüslü bir flash sürücüyü analiz ettikten sonra, solucanın kötü amaçlı bir .LNK dosyası aracılığıyla yeni cihazlara yayıldığını keşfettiler.
Bilinmeyen tehdit aktörü
Kurban USB sürücüsünü taktığında, solucan cmd.exe aracılığıyla yeni bir işlemi tetikleyecek ve dosyayı ele geçirilmiş uç noktada çalıştıracaktır.(yeni sekmede açılır).
Araştırmacılar, komuta ve kontrol (C2) sunucusuna ulaşmak için solucanın Microsoft Standard Installer (msiexec.exe) kullandığını belirtiyor. Sunucu hakkında spekülasyon yapıyorlar(yeni sekmede açılır)güvenliği ihlal edilmiş bir QNAP NAS cihazında barındırılıyor ve TOR çıkış düğümleri ekstra C2 altyapısı olarak kullanılıyor.
Sekoia’daki siber güvenlik uzmanları, geçen yılın sonlarında QNAP NAS cihazlarını C2 sunucuları olarak kullandığını da gözlemledi.
Raporda, “msiexec.exe meşru yükleyici paketlerini indirip çalıştırırken, düşmanlar da kötü amaçlı yazılım dağıtmak için bundan yararlanıyor” diyor. “Raspberry Robin, C2 amaçları için kötü amaçlı bir etki alanına harici ağ iletişimi girişiminde bulunmak için msiexec.exe’yi kullanıyor.”
Araştırmacılar henüz kötü amaçlı yazılımı belirli bir tehdit aktörüne atfetmediler ve kötü amaçlı yazılımın amacının ne olduğundan tam olarak emin değiller. Şu anda aktif olarak kullanılmadığı için kimsenin tahmininde bulunmuyor.
Araştırmacılar birkaç ay önce, “Ahududu Robin’in neden kötü niyetli bir DLL yüklediğini de bilmiyoruz” dedi. “Bir hipotez, bu hipoteze güven oluşturmak için ek bilgi gerekmesine rağmen, virüslü bir sistemde kalıcılık sağlama girişimi olabileceğidir.”