Microsoft hat kürzlich einen bösartigen „Windows-Wurm“ entdeckt, der seine Krallen bereits in mehreren Unternehmensnetzwerken ausgebreitet hat. Laut einem Bericht von TechRadar hat der Software-Riese seine Ergebnisse in aller Stille den von Microsoft abonnierten Unternehmen mitgeteilt Verteidiger für Endpoint. Inzwischen hat das Sicherheitsforschungsteam des Unternehmens erklärt, dass diese Malware namens Himbeer Robin, wurde noch nicht verwendet. „Es wurde jedoch beobachtet, dass eine Verbindung zu mehreren Adressen auf dem hergestellt wird Tor Netzwerk.“
Was ist Himbeer Robin
Im Jahr 2021 haben die Forscher aus Roter Kanarienvogel entdeckte einen „Cluster bösartiger Aktivitäten“ und identifizierte zum ersten Mal die Malware Raspberry Robin, heißt es in dem Bericht. Laut dem Bericht wird die Malware „normalerweise offline verbreitet“, indem sie kompromittiert wird USB fährt. Darüber hinaus haben die Forscher auch ein infiziertes Laufwerk untersucht, um festzustellen, dass der Wurm über eine „bösartige .LNK-Datei“ auf neue Geräte übertragen wird.
Wie hat sich die Malware verbreitet
Wenn die infizierten USB-Laufwerke mit einem neuen Gerät verbunden werden, löst der Wurm über cmd.exe einen neuen Prozess aus und führt die Datei auf dem kompromittierten Endpunkt aus. Darüber hinaus haben die Forscher auch erwähnt, dass der Wurm verwendet Microsoft Standard-Installer (msiexec.exe), um seinen Command-and-Control-Server (C2) zu kontaktieren, behauptet der Bericht. Spekulationen zufolge wird der Server „auf einem kompromittierten QNAP gehostet NAS device“, wo TOR-Ausgangsknoten als zusätzliche C2-Infrastruktur verwendet werden. 2021 werden Cybersicherheitsexperten bei Sekoia beobachtete diesen Wurm auch bei der Verwendung von QNAP NAS-Geräten als C2-Server.
In dem Bericht heißt es: „Während msiexec.exe legitime Installationspakete herunterlädt und ausführt, nutzen Angreifer sie auch, um Malware zu verbreiten. Raspberry Robin verwendet msiexec.exe, um eine externe Netzwerkkommunikation mit einer bösartigen Domäne für C2-Zwecke zu versuchen.“
Wie wird die Malware verwendet?
Laut dem Bericht konnten die Forscher die Malware nicht mit einem bestimmten Bedrohungsakteur in Verbindung bringen. Darüber hinaus sind sie sich nicht einmal über die Absichten der Malware im Klaren, da sie nicht aktiv genutzt wird, so der Bericht. Unterdessen sagte kürzlich auch ein Forscher: „Wir wissen auch nicht, warum Raspberry Robin eine bösartige DLL.“
Eine der Theorien könnte der Versuch der Malware sein, „auf einem infizierten System Persistenz aufzubauen“. Dies ist jedoch nur eine Hypothese, die noch nicht bewiesen ist, und es sind weitere Informationen erforderlich, um Vertrauen in diese Theorie aufzubauen, so der Bericht.
FacebookTwitterInstagramKOO-APPYOUTUBE