活动概览

据英国广播公司（BBC）最新报道，教育部（DfE）向弱势学生分发的一些笔记本电脑被发现感染了恶意软件。

据了解，由于COVID-19疫情的严重影响，并考虑到一些家庭条件较差的学生家里没有数字设备（只有智能手机或需要与其他家庭成员共用电子设备），英国系教育部 (DfE) 决定为这些学生提供免费笔记本电脑，用于远程学习

支持在线教学

这些感染恶意软件的笔记本电脑由英国政府部门免费分发给贫困学生，以支持在COVID-19疫情期间无法获得远程教育且家庭条件较差的贫困学生进行远程在线学习。

为此，英国教育部（DfE）还专门与移动网络运营商合作，允许学生免费远程访问学习数据。 这样，学生足不出户就可以在家学习，远程参与学校的在线教学活动。

幸运的是，感染尚未扩散！

不过，根据布拉德福德学校老师透露的信息，他们在分发给学生之前需要对笔记本电脑进行一些基本的安装和配置，但在安装和配置英国政府提供的Windows笔记本电脑时，他们实际上也在其中。 一些文件被发现感染了恶意软件。

一位老师说：“拆开笔记本电脑包装后，我们会对笔记本电脑进行一些基本配置，以便学生更好地使用它们进行远程学习。但在准备设备的过程中恶意软件 rootkit和僵尸网络，我们发现有一些笔记本电脑是感染了自我传播的网络蠕虫！”

据知情人士透露，截至 2021 年 1 月，教育部 (DfE) 已向英国各地的学校、大学信托机构 (trust) 和地方当局 (LA) 交付了超过 80 万台笔记本电脑和平板电脑。 电脑。

英国教育部(DfE)一名官员在接受英国广播公司(BBC)记者采访时也表示：“我们已经收到了相关事件的调查报告，也发现少数设备确实存在安全问题。”我们正在对此事件进行紧急调查，希望尽快解决此事，以便学生可以安全地使用这些设备进行远程在线学习。教育部（DfE）信息技术团队正在跟进我们已经与报告此问题的人员取得了联系，但我们相信只有少数设备受到影响，而且这种情况并不普遍。”

Gamarue 僵尸网络恶意软件

安全研究人员将受感染笔记本电脑上发现的恶意软件识别为 Gamarue（也称为 Andromeda），这是一种模块化恶意软件。 根据之前的研究，这种恶意软件经常被俄罗斯和东欧网络犯罪分子使用。

Gamarue 恶意软件目前可以直接在暗网市场上购买。 借助 Gamarue 恶意软件，攻击者可以使用 Teamviewer 插件来控制受感染的设备。

Gamarue恶意软件还支持键盘记录器、RootKit、Socks4/5代理服务器和formgrabber插件等攻击组件，这将使攻击者能够获取用户击键信息，在目标设备上实现持久感染，重定向恶意流量并从Web浏览器窃取输入数据。 此外，Gamarue恶意软件还可以修改目标设备的计算机设置并窃取目标用户的个人信息和存储的文档。

从感染途径来看，Gamarue 恶意软件通常通过漏洞利用工具、钓鱼网站和恶意电子邮件附件感染目标用户的个人计算机 (PC)。

下图为Gamarue恶意软件的攻击链（微软提供）：

研究人员表示，一些 Gamarue 恶意软件变体还具有蠕虫功能，这使得恶意软件能够通过受感染的可移动设备（例如外部硬盘驱动器或 USB 闪存驱动器）传播和感染其他设备。 。

然而，自研究人员于 2011 年首次发现 Gamarue 恶意软件样本以来，Gamarue 恶意软件的主要用途是利用其他恶意软件传递和感染有效负载，包括但不限于 Petya、Troldesh 和 Cerber 勒索软件，以及 DDoS 攻击中使用的恶意软件。 Kasidet 恶意软件（也称为 Neutrino Bot）、Lethic 垃圾邮件机器人以及 Ursnif、Carberp 和 Fareit 信息窃取恶意软件。

总结

尽管微软早在2017年就与相关执法机构和其他合作伙伴展开合作，在全球范围内协同行动，关闭了相关恶意软件服务器恶意软件 rootkit和僵尸网络，并打击了Andromeda僵尸网络的活动。 但直到今天，这种恶意软件仍然每天使用可移动驱动器传输模块来大规模感染用户计算机设备。

-结尾-