研究人員警吿:“Raspberry Robin”或正通過外部驅動傳播
近日,網絡安全研究人員發現了一種新型Windows惡意軟件,其具有類似蠕蟲的功能,而且通過可移動USB設備進行傳播。
安全機構Red Canary的研究人員將該惡意軟件歸於名為“Raspberry Robin”(樹莓知更鳥)的集羣,並指出它“利用 Windows Installer 訪問與QNAP相關的域並下載惡意DLL。”
據研究人員透露,發現這個惡意軟件的活動跡象最早可以追溯到2021年9月,當時是在與技術和製造業有關的組織機構中觀察到有感染現象。
與Raspberry Robin相關的攻擊鏈是從將受感染的USB驅動器連接到Windows機器開始的,在設備中出現的是蠕蟲有效載荷,它以.lnk快捷方式文件的形式出現在合法文件夾中。然後,蠕蟲會使用cmd.exe生成一個新的進程來讀取和執行存儲在部驅動器上的惡意文件。緊接着會啟動explorer.exe和msiexc.exe,後者用於外部網絡通信到流氓域,以實現命令和控制(C2)的目的,並下載和安裝DLL庫文件。最後,惡意DLL被使用一系列合法的Windows實用程序加載和執行,如fodhelper.exe、rundll32.exe到rundll32.exe和odbcconf.exe,從而有效地繞過用户帳户控制(UAC)。
值得一提的是,在Raspberry Robin檢測中,outbound C2關聯非常常見,通常涉及到與Tor節點關聯的IP地址進程regsvr32.exe、rundll32.exe和dllhost.exe。
時至今日,研究人員尚不清楚攻擊者的動機是什麼。另外,研究人員也在努力弄清外部硬盤是如何以及在哪裏被感染的,但就目前的推測而言,離線感染的可能性比較大。
對此,研究人員表示:“我們也不知道為什麼Raspberry Robin會安裝惡意DLL。我們提出了一種假設:它可能試圖在受感染的系統上長期存在下去。”
參考來源:
http://thehackernews.com/2022/05/researchers-warn-of-raspberry-robin.html
- 俄羅斯 Yandex 被黑,造成莫斯科交通堵塞
- 黑山遭遇勒索軟件攻擊,黑客索要1000萬美元
- 意大利石油巨頭 ENI 遭受網絡攻擊
- 紅隊滲透測試之Sputnik
- 黑客利用天文望遠鏡拍攝的圖像傳播惡意軟件
- 暗網上正在出售COVID-19患者數據
- Sliver取代Cobalt Strike成黑客滲透工具“新寵”
- 密碼管理巨頭LastPass遭遇網絡攻擊,源代碼已泄露
- LockBit 勒索軟件團伙通過三重勒索策略變得更加強勢
- 谷歌發現伊朗黑客新工具,可竊取Gmail、雅虎、Outlook等電子郵件賬户
- 惡意程序正潛入盜版3DMark等軟件進行傳播
- 加密貨幣收割機:Lazarus APT組織近期不斷攻擊加密貨幣行業
- 未更新固件,超八萬台海康威視攝像機可能被利用
- 黑客利用零日漏洞竊取 General Bytes ATM 機上的加密貨幣
- 網絡犯罪組織 TA558 針對酒店、賓館和旅遊機構展開攻擊
- 勒索軟件BlackByte 帶着2.0 版本回歸了,並創建了一個新的數據泄露網站
- 聊聊新版風險評估的變化
- 2021年,身份欺詐案例創下新記錄
- 攻擊者開發BugDrop惡意軟件,可繞過安卓安全防護
- 一種新型攻擊技術出現,可將PLC武器化