Các nhà nghiên cứu an ninh mạng đang thu hút sự chú ý đến làn sóng tấn công đang diễn ra liên quan đến một nhóm mối đe dọa được theo dõi là Raspberry Robin, kẻ đứng sau phần mềm độc hại Windows với các khả năng giống như sâu.
Mô tả nó là một mối đe dọa “dai dẳng” và “lan rộng”, Cybereason cho biết họ đã quan sát thấy một số nạn nhân ở châu Âu.
Việc lây nhiễm liên quan đến một con sâu lây lan qua các thiết bị USB di động có chứa tệp .LNK độc hại và sử dụng các thiết bị lưu trữ gắn liền với mạng QNAP (NAS) bị xâm phạm để ra lệnh và kiểm soát. Nó được ghi nhận lần đầu tiên bởi các nhà nghiên cứu từ Red Canary vào tháng 5 năm 2022.
Cũng được Sekoia đặt tên mã là sâu QNAP, phần mềm độc hại này sử dụng tệp nhị phân trình cài đặt Windows hợp pháp có tên “msiexec.exe” để tải xuống và thực thi thư viện chia sẻ độc hại (DLL) từ thiết bị qnap nas bị xâm phạm.
Nhà nghiên cứu Loïc Castel của Cybereason cho biết: “Để làm cho nó khó bị phát hiện hơn, Raspberry Robin tận dụng quá trình đưa vào trong ba quy trình hệ thống Windows hợp pháp”, nhà nghiên cứu Loïc Castel của Cybereason cho biết. [the] cơ sở hạ tầng thông qua các nút thoát TOR. “
Tính duy trì trên máy bị xâm phạm đạt được bằng cách thực hiện các sửa đổi Windows Registry để tải trọng tải độc hại thông qua tệp nhị phân Windows “rundll32.exe” ở giai đoạn khởi động.
Chiến dịch, được cho là có từ tháng 9 năm 2021, cho đến nay vẫn là một điều gì đó bí ẩn, không có manh mối nào về nguồn gốc của kẻ đe dọa hoặc mục tiêu cuối cùng của nó.
Tiết lộ được đưa ra khi QNAP cho biết họ đang tích cực điều tra một làn sóng lây nhiễm ransomware Checkmate nhắm vào các thiết bị của mình, đây là cuộc tấn công mới nhất trong một loạt các cuộc tấn công sau AgeLocker, eCh0raix và DeadBolt.
“Điều tra sơ bộ cho thấy Checkmate tấn công thông qua các dịch vụ SMB tiếp xúc với internet và sử dụng một cuộc tấn công từ điển để phá các tài khoản có mật khẩu yếu”, công ty lưu ý trong một lời khuyên.
“Sau khi kẻ tấn công đăng nhập thành công vào một thiết bị, chúng sẽ mã hóa dữ liệu trong các thư mục chia sẻ và để lại ghi chú đòi tiền chuộc với tên tệp”! CHECKMATE_DECRYPTION_README “trong mỗi thư mục.”
Để đề phòng, công ty Đài Loan khuyến cáo khách hàng không để các dịch vụ SMB lên internet, cải thiện độ mạnh của mật khẩu, sao lưu thường xuyên và cập nhật hệ điều hành QNAP lên phiên bản mới nhất.
.
