45c00fa265ed397

Red Canary 警告 Raspberry Robin 恶意软件会通过 USB 驱动器实现传播

  • 浏览次数 11068
  • 喜欢 0
  • 评分 12345

Red Canary 安全研究人员刚刚揭示了一款攻击企业的“Raspberry Robin”恶意软件,可知该蠕虫病毒会通过被感染的外部硬盘驱动器而感染 Windows PC 。其实早在 2021 年 11 月,网络安全情报公司 Sekoia 就已经曝光过被“Raspberry Robin”所利用的“QNAP 蠕虫”。但自 9 月以来,Red Canary 在某些技术与制造商客户的网络中对其展开了持续的跟踪。

45c00fa265ed397

(来自:Red Canary 官网

除了潜藏旗下的恶意软件性质,我们尚不清楚“Raspberry Robin”恶意软件的后期实际工作目的。

80b3d2f44df71c1

攻击流程图

当用户将受感染的 USB 驱动器连接到他们的计算机时,Raspberry Robin 就会在暗地里开启传播。

77c958d4b5f676e

利用 ROT13.lnk 文件来修改注册表

该蠕虫会将自己伪装成 .lnk 快捷方式文件,然后调用 Windows 命令提示符(cmd.exe)来启动恶意软件。

897f5979b1cace9

Raspberry Robin 的 cmd.exe 命令

接着它会利用微软标准安装程序(MSIexec.exe)连接到远程的命令与控制(C2)服务器 —— 通常是易受攻击的 QNAP 设备 —— 以通过后者的出口节点来洗清攻击者的确切网络痕迹。

a969da9497b541b

引用设备名称的混合大小写命令

b72be4f93e27574

Red Canary 推测,Raspberry Robin 会通过从 C2 服务器安装恶意的动态链接库(DLL)文件,以维持长期潜伏状态。

013c3ee11366a69

Raspberry Robin 的恶意 msiexec.exe 命令

然后该恶意软件会利用 Windows 中包含的两个实用程序来调用 DLL —— 其中 Windows 设置管理器(fodhelper)旨在绕过用户账户控制(UAC),而 ODBC 驱动程序配置工具(odbcconf)则用于执行与配置 DLL 。

1f5db58bb0e9082

恶意 rundll32.exe 命令

不过安全研究人员承认这只是一个可行的假设,当前他们尚不明确相关 DLL 的作用、也未搞清楚该恶意软件是如何利用 USB 驱动器实现传播的。


转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1267401.htm

封面来源于网络,如有侵权请联系删除