自传播恶意软件新变种通过USB驱动传播

关键要点

研究人员发现了一种新的自传播恶意软件变种，这种恶意软件通过USB驱动进行传播，据信与中国国家支持的高级持续威胁（APT）组织“Camaro Dragon”相关联。
恶意软件在欧洲一家医疗机构的网络事件调查中被发现。
该医疗机构的感染案例显示USB驱动在传播恶意软件中的重要角色。
新的变种具有绕过安道夫（SmadAV）杀毒软件的功能，展现出更高的隐蔽性与传播能力。
强调组织需要提高警惕，采取措施保护资产，并教育员工使用USB驱动的潜在风险。

研究人员发现了一种新的自传播恶意软件变种，这种恶意软件通过USB驱动的方式进行传播，并且据信与一个名为的中国国家支持的高级持续威胁（APT）组织有关。

根据的报告，在调查欧洲一家医疗机构的网络安全事件时，研究人员确认了几种新增的恶意软件变种。报告中指出，该事件“突显了USB驱动在传播恶意软件中所扮演的令人担忧的角色”。

CPR的研究人员表示，这家医疗机构的感染源于一名参与亚洲会议的员工将他们的USB驱动与一位感染了恶意软件的同事共享，恶意软件因此被转移至USB驱动中。

“在他返回位于欧洲的家医院后，该员工将感染的USB驱动接入医院的计算机系统，最终导致感染扩散。”报告指出。

Camaro Dragon，也被称为和LuminousMoth，一直以来主要集中攻击东南亚国家，并与先前的使用USB驱动传播感染的活动相关联。

CPR表示，这次欧洲医院的感染事件是一个“在野外观察到的利用”，与2022年12月中描述的利用方式一致，报告中提到了一系列与该威胁组织相关的恶意工具在分发服务器上的部署。

这同样演示了源于东南亚的USB恶意软件感染如何“在全球范围内无控制地传播到不同的网络，即使那些网络并非主要目标”。

“Camaro Dragon APT组织仍然继续使用USB设备作为感染目标系统的手段，有效结合了这一技术与其他既定战术，”报告指出。

当一个系统被感染时，恶意软件不仅在受害机器上建立了后门，还能将自身传播到后续连接到该系统的任何USB驱动上。

“这种自主且不受控制地在多个设备间传播的能力增强了这一威胁的影响范围及潜在影响。这种方法不仅能够渗透潜在的隔离系统，还能为广泛的实体获取并保持访问权限，甚至包括那些并非主要目标的实体。”

当USB驱动插入被感染的计算机时，恶意软件会隐藏驱动上的用户文件，并添加一个与驱动同名且带有USB图标的可执行文件(.exe)。当用户无法看到他们的文件，点击可执行文件时，就会触发感染。

“启动程序会显示受害者之前隐藏的所有文件，并负责释放主要后门，感染每个新连接的USB驱动。”

在继续跟踪Camaro Dragon的过程中，Check Point Research发现了在欧洲医院感染中使用的若干新版本恶意软件。

一种新的有效载荷变种，被追踪为WispRider，具有新的后门功能和绕过东南亚流行的安道夫杀毒软件