Camaro Dragon (компьютерный вирус)

2023: Хакеры научились удаленно устанавливать вирус на подключенные к компьютеру USB-флэшки

В начале июня 2023 года специалисты из Check Point Incident Response Team (CPIRT) сообщили о результатах расследования киберинцидента в одной из европейских больниц. Оно показало, что вредоносная активность, скорее всего, не была целенаправленной, а была просто побочным ущербом от самораспространяющихся вредоносных программ Camaro Dragon, которые попали в систему через USB-накопители.

Вирус был разработан китайской хакерской группировкой Camaro Dragon, также известной как Mustang Panda. Вредоносная программа получила доступ к системам медицинского учреждения через зараженный USB-накопитель. В ходе расследования команда Check Point Research (CPR) обнаружила более новые версии вредоносного ПО с аналогичной способностью к самораспространению через USB-накопители. Таким образом, вредоносные программы, зародившиеся в Юго-Восточной Азии, бесконтрольно распространяются в различные сети по всему миру, даже если эти сети не являются основной целью угроз.

В ходе расследования команда Check Point Research (CPR) обнаружила более новые версии вредоносного ПО с аналогичной способностью к самораспространению через USB-накопители

Основной вариант полезной нагрузки, получивший название WispRider, претерпел значительные изменения. Помимо возможностей бэкдора и способности распространяться через USB с помощью пусковой установки HopperTick, полезная нагрузка включает дополнительные функции, такие как обход SmadAV, антивирусного решения, популярного в Юго-Восточной Азии. Вирус также выполняет DLL-загрузку с использованием компонентов защитного ПО, например, G-DATA Total Security, и двух крупных игровых компаний Electronic Arts и Riot Games. Check Point Research ответственно уведомила эти компании о вышеупомянутом использовании их ПО злоумышленниками.

Выводы, сделанные в данном отчете от CPIRT, а также подтвержденные данными из других отраслевых отчетов, подтверждают, что китайские угрозы, включая Camaro Dragon, продолжают эффективно использовать USB-устройства в качестве вектора заражения. Распространенность и характер атак с использованием самораспространяющегося вредоносного ПО через USB демонстрируют необходимость защиты от них даже для организаций, которые могут не быть непосредственными объектами таких кампаний. Специалисты по ИБ из компании CPR, обнаружили свидетельства заражения вредоносным ПО USB, по крайней мере, в следующих странах: Мьянма, Южная Корея, Великобритания, Индия и Россия.^[1]

Примечания