可用-黑客

多国政府办公系统遭蠕虫病毒攻击

  • 浏览次数 9016
  • 喜欢 0
  • 评分 12345

趋势科技的研究人员发现了一种针对拉丁美洲、澳大利亚和欧洲电信和政府办公系统的覆盆子罗宾蠕虫病毒活动。

该运动至少从2022年9月开始活跃,大多数感染发生在阿根廷(34.8%),其次是澳大利亚(23.2%)。

“从9月份开始,我们发现Raspberry Robin恶意软件样本在电信和政府办公系统中传播。”趋势科技发布的报告写道,“主要有效载荷本身包含超过10层用于混淆,一旦检测到沙盒和安全分析工具,就能够提供虚假有效载荷。”

Raspberry Robin是Red Canary网络安全研究人员发现的一种Windows蠕虫病毒,该恶意软件通过可移动USB设备传播。

恶意代码使用Windows安装程序接触到qnap相关的域并下载恶意DLL。恶意软件使用TOR出口节点作为备份C2基础设施。

该恶意软件于2021年9月首次被发现,专家们观察到它针对的是科技和制造业的组织。初始访问通常是通过受感染的可移动驱动器,通常是USB设备。

恶意软件使用cmd.exe读取并执行存储在受感染的外部驱动器上的文件,它利用msiexec.exe进行外部网络通信到流氓域作为C2下载并安装DLL库文件。

然后msiexec.exe启动一个合法的Windows实用程序fodhelper.exe,该实用程序反过来运行rundll32.exe来执行恶意命令。专家指出,由fodhelper.exe启动的进程以更高的管理权限运行,而不需要用户帐户控制提示。

IBM将该蠕虫归咎于网络犯罪团伙Evil Corp,然而,它被多个威胁行为者用来传递恶意载荷,如Clop勒索软件。

趋势科技进行的分析显示,主要的恶意软件程序包含真实和虚假的有效载荷。一旦恶意代码检测到沙箱工具,就会加载假有效载荷,同时真实有效载荷在包装层下保持混淆,随后连接到Tor网络。

一旦安装了恶意软件,使用嵌入式自定义TOR客户端联系硬编码的.onion地址,该客户端旨在使用共享内存与真正的有效负载通信,并等待进一步的命令。

在启动Tor客户端进程时,真正的有效负载随机使用一个合法的Windows进程的名称,如dllhost.exe, regsvr32.exe和rundll32.exe。

恶意软件的真正程序运行在一个专门的Windows会话中,称为session 0。

趋势科技专家发现了特权升级和LockBit勒索软件实现的反调试技术的许多相似之处,导致以下假设:

· 开发LockBit的团队也开发了Raspberry Robin。

· Raspberry Robin背后的团队也是LockBit正在使用的一些工具的制造商。

· Raspberry Robin背后的团队利用了负责LockBit所使用技术的附属机构的服务。

然而,即使Raspberry Robin使用了相同的技术,报告称也不能确定LockBit和Raspberry Robin背后的演员是相同的。

 


转自 E安全,原文链接:https://mp.weixin.qq.com/s/gY3GJ6Z6921H-oBoQJlxRA

封面来源于网络,如有侵权请联系删除