Ny GigaWiper bakdør kombinerer datavisking, falsk ransomware og spionfunksjoner.
Ny GigaWiper bakdør kombinerer datavisking, falsk ransomware og spionfunksjoner
Microsoft har analysert en ny Windows bakdør kalt GigaWiper, som kombinerer flere destruktive funksjoner og spionkapasiteter i én skadevareplattform. Skadevaren kan overskrive hele fysiske disker, slette Windows-partisjonen eller kryptere filer ved hjelp av en falsk ransomware funksjon som ikke lagrer krypteringsnøkkelen, noe som gjør gjenoppretting umulig. I tillegg kan GigaWiper ta skjermbilder, gjøre skjermopptak, opprette skjulte VNC-økter, samle systeminformasjon, administrere prosesser og tjenester, endre registeret og slette Windows-hendelseslogger for å skjule aktivitet. For vedvarende tilgang oppretter den en planlagt oppgave kalt OneDrive Update, mens kommando og kontrolltrafikk sendes via RabbitMQ, Redis og MinIO for å fremstå som legitim nettverkstrafikk. Microsoft opplyser at GigaWiper gjenbruker kode fra de tidligere skadevarene Crucio og FlockWiper, mens Binary Defense omtaler de samme skadevareprøvene som BLUERABBIT.
Aktiver Microsoft Defender Tamper Protection, blokker de kjente kommando og kontrollserverne, aktiver Endpoint Detection and Response (EDR) i blokkmodus, og sørg for å ha oppdaterte sikkerhetskopier lagret offline.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.