Các nhà nghiên cứu cảnh báo về sự lây lan phần mềm độc hại ‘Raspberry Robin’ qua các ổ đĩa ngoài

Raspberry Robin

Các nhà nghiên cứu đã phát hiện ra một Windows mới có khả năng giống như sâu và được lan truyền qua các thiết bị USB có thể tháo rời.

Các nhà nghiên cứu của Red Canary lưu ý rằng phần mềm độc hại này được gán cho một cụm có tên là “Raspberry Robin”.

Các dấu hiệu sớm nhất của hoạt động này được cho là có từ tháng 9 năm 2021, với sự lây nhiễm được quan sát thấy trong các tổ chức có quan hệ với lĩnh vực công nghệ và sản xuất.

Chuỗi tấn công liên quan đến Raspberry Robin bắt đầu bằng việc kết nối ổ USB bị nhiễm với máy Windows. Hiện tại bên trong thiết bị là tải trọng sâu, xuất hiện dưới dạng tệp lối tắt .LNK đến một thư mục hợp pháp.

Raspberry Robin

Sau đó, sâu sẽ tạo ra một quy trình mới bằng cách sử dụng cmd.exe để đọc và thực thi một tệp độc hại được lưu trữ trên ổ đĩa ngoài.

Tiếp theo là khởi chạy explorer.exe và msiexec.exe, phần sau được sử dụng để giao tiếp mạng bên ngoài với miền giả mạo cho mục đích lệnh và điều khiển (C2) và để tải xuống và cài đặt tệp thư viện DLL.

Sau đó, DLL độc hại được tải và thực thi bằng một chuỗi các tiện ích hợp pháp của Windows như fodhelper.exe, rundll32.exe đến rundll32.exe và odbcconf.exe, vượt qua Kiểm soát tài khoản người dùng (UAC) một cách hiệu quả.

Xem tiếp:   Mới mẻ

Cũng phổ biến trên các phát hiện Raspberry Robin là sự hiện diện của liên hệ C2 gửi đi liên quan đến các quy trình regsvr32.exe, rundll32.exe và dllhost.exe đến các được liên kết với các nút Tor.

Điều đó nói rằng, các mục tiêu của các nhà khai thác vẫn chưa được trả lời trong giai đoạn này. Nó cũng không rõ ràng làm thế nào và ở đâu các ổ đĩa bên ngoài bị nhiễm, mặc dù người ta nghi ngờ rằng nó được thực hiện ngoại tuyến.

Các nhà nghiên cứu cho biết: “Chúng tôi cũng không biết tại sao Raspberry Robin lại cài đặt một DLL độc hại. “Một giả thuyết cho rằng nó có thể là một nỗ lực để thiết lập sự bền bỉ trên một hệ thống bị nhiễm bệnh.”

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / tấn công mạng Hơn một …