Microsoft, tehlikeli bir Windows solucanının yüzlerce şirket ağına girdiğini keşfetti.
tarafından bildirildiği gibi BleeBilgisayarRedmond devi, Endpoint için Microsoft Defender’a abone olan şirketleri özel olarak bilgilendirdi (yeni sekmede açılır) bulgularından. Güvenlik tavsiyesi, kötü amaçlı yazılımın (Raspberry Robin adlı) henüz kullanılmamış olmasına rağmen Tor ağındaki birden fazla adrese bağlandığının gözlemlendiğini açıkladı.
Ahududu Robin, ilk olarak geçen yıl Red Canary’den araştırmacıların bir “kötü niyetli etkinlik kümesi” keşfettiği zaman tespit edildi. Kötü amaçlı yazılım genellikle virüslü USB sürücüler aracılığıyla çevrimdışı olarak dağıtılır. Araştırmacılar, virüslü bir flash sürücüyü analiz ettikten sonra, solucanın kötü amaçlı bir .LNK dosyası aracılığıyla yeni cihazlara yayıldığını keşfettiler.
Bilinmeyen tehdit aktörü
Kurban USB sürücüsünü taktığında, solucan cmd.exe aracılığıyla yeni bir işlemi tetikleyecek ve dosyayı ele geçirilmiş uç noktada çalıştıracaktır. (yeni sekmede açılır).
Araştırmacılar, komuta ve kontrol (C2) sunucusuna ulaşmak için solucanın Microsoft Standard Installer (msiexec.exe) kullandığını belirtiyor. Sunucu hakkında spekülasyon yapıyorlar (yeni sekmede açılır) güvenliği ihlal edilmiş bir QNAP NAS cihazında barındırılır ve TOR çıkış düğümleri ekstra C2 altyapısı olarak kullanılır.
Sekoia’daki siber güvenlik uzmanları, geçen yılın sonlarında QNAP NAS cihazlarını C2 sunucuları olarak kullandığını da gözlemledi.
Raporda, “msiexec.exe meşru yükleyici paketlerini indirip çalıştırırken, düşmanlar da kötü amaçlı yazılım dağıtmak için bundan yararlanıyor” diyor. “Raspberry Robin, C2 amaçları için kötü amaçlı bir etki alanına harici ağ iletişimini denemek için msiexec.exe’yi kullanıyor.”
Araştırmacılar henüz kötü amaçlı yazılımı belirli bir tehdit aktörüne atfetmediler ve kötü amaçlı yazılımın amacının ne olduğundan tam olarak emin değiller. Şu anda aktif olarak kullanılmadığı için kimsenin tahmininde bulunmuyor.
Araştırmacılar birkaç ay önce, “Ahududu Robin’in neden kötü niyetli bir DLL yüklediğini de bilmiyoruz” dedi. “Bir hipotez, bu hipoteze güven oluşturmak için ek bilgi gerekmesine rağmen, virüslü bir sistemde kalıcılık sağlama girişimi olabileceğidir.”
- Çevredeki en iyi güvenlik duvarları ile gelen ve giden trafiği takip edin
Aracılığıyla BleeBilgisayar (yeni sekmede açılır)
