研究人员警告:“Raspberry Robin”或正通过外部驱动传播
source link: https://netsecurity.51cto.com/article/708309.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
研究人员警告:“Raspberry Robin”或正通过外部驱动传播-51CTO.COM
近日,网络安全研究人员发现了一种新型Windows恶意软件,其具有类似蠕虫的功能,而且通过可移动USB设备进行传播。
安全机构Red Canary的研究人员将该恶意软件归于名为“Raspberry Robin”(树莓知更鸟)的集群,并指出它“利用 Windows Installer 访问与QNAP相关的域并下载恶意DLL。”
据研究人员透露,发现这个恶意软件的活动迹象最早可以追溯到2021年9月,当时是在与技术和制造业有关的组织机构中观察到有感染现象。
与Raspberry Robin相关的攻击链是从将受感染的USB驱动器连接到Windows机器开始的,在设备中出现的是蠕虫有效载荷,它以.lnk快捷方式文件的形式出现在合法文件夹中。然后,蠕虫会使用cmd.exe生成一个新的进程来读取和执行存储在部驱动器上的恶意文件。紧接着会启动explorer.exe和msiexc.exe,后者用于外部网络通信到流氓域,以实现命令和控制(C2)的目的,并下载和安装DLL库文件。最后,恶意DLL被使用一系列合法的Windows实用程序加载和执行,如fodhelper.exe、rundll32.exe到rundll32.exe和odbcconf.exe,从而有效地绕过用户帐户控制(UAC)。
值得一提的是,在Raspberry Robin检测中,outbound C2关联非常常见,通常涉及到与Tor节点关联的IP地址进程regsvr32.exe、rundll32.exe和dllhost.exe。
时至今日,研究人员尚不清楚攻击者的动机是什么。另外,研究人员也在努力弄清外部硬盘是如何以及在哪里被感染的,但就目前的推测而言,离线感染的可能性比较大。
对此,研究人员表示:“我们也不知道为什么Raspberry Robin会安装恶意DLL。我们提出了一种假设:它可能试图在受感染的系统上长期存在下去。”
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK