Kelių įrenginių licencijos (tūrinės nuolaidos)
Threat Database Worms Avietinis Robinas

Avietinis Robinas

Autorius CagedTech, Worms, Malware
Versti į:
Lietuvių

Kenkėjiška programinė įranga, turinti panašių į kirminus, yra naudojama atakų kampanijose, turinčiose įtakos „Windows“ sistemoms. Kibernetinio saugumo tyrinėtojai šią grėsmę ir su ja susijusią veiklos grupę atsekė kaip „Raspberry Robin“ ir „QNAP kirminą“. Remiantis jų pranešimais, „Raspberry Robin“ veikla buvo pastebėta dar 2021 m. rugsėjį, tačiau didžioji dalis veiklos vyko 2022 m. sausio mėn. būk ir kiti. Pažymėtina, kad iki šiol grėsmės veikėjų tikslai nepatvirtinti.

Teisėtų Windows įrankių naudojimas

Raspberry Robin infekcijos grandinė prasideda nuo užkrėstų keičiamųjų diskų, tokių kaip USB įrenginiai. Šiuose diskuose yra „Raspberry Robin“ kirminas kaip nuorodos .lnk failas, užmaskuotas kaip teisėtas aplankas. Grėsmė suaktyvėja, kai sugadintas diskas prijungiamas prie kompiuterio. Jis naudoja cmd.exe, kad nuskaitytų ir paleistų failą, rastą užkrėstame išoriniame diske. Tyrėjai nustatė, kad ši komanda atitinka skirtingus Raspberry Robin aptikimus ir gali būti naudojama kaip grėsmingos kirmino veiklos rodiklis.

Kenkėjiška programa, vykdydama savo veiksmus, išnaudoja daugybę teisėtų „Windows“ paslaugų. Jis naudoja msiexec.exe (Microsoft Standard Installer), kad gautų ir paleistų pažeistą DLL failą kartu su kitais teisėtais diegimo programos paketais. Manoma, kad DLL failas turi su patvarumu susijusių funkcijų ir yra paimtas iš sugadinto komandų ir valdymo (C2, C&C) domeno, kuris greičiausiai yra priglobtas pažeistuose QNAP įrenginiuose. Išeinanti C2 veikla, priskirta Raspberry Robin, taip pat buvo stebima naudojant Windows procesus regsvr32.exe, rundll32.exe ir dllhost.exe. Bandymai prisijungti prie išorinio tinklo buvo nukreipti į IP adresus TOR mazguose.

„Raspberry Robin“ taip pat priverčia msiexec.exe paleisti kitą tikrą „Window“ programą – fodhelper.exe. Grėsmė priklauso nuo jos, kad sukurtų rundll32.exe ir pradėtų grėsmingą komandą. Grėsmės veikėjas pasirinko fodhelper.exe dėl galimybės paleisti procesus su padidintomis administratoriaus teisėmis, nesuaktyvinant vartotojo abonemento valdymo (UAC) raginimo.

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
15,356
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...