Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Threat Database Worms Raspberry Robin

Raspberry Robin

Đến năm CagedTech năm Worms, Malware
Dịch sang:
Tiếng Việt Nam

Một phần mềm độc hại có khả năng giống như sâu đang được sử dụng trong các chiến dịch tấn công ảnh hưởng đến hệ thống Windows. Mối đe dọa và nhóm hoạt động liên quan của nó đã được các nhà nghiên cứu an ninh mạng theo dõi là Raspberry Robin và 'sâu QNAP'. Theo báo cáo của họ, hoạt động Raspberry Robin đã được chú ý trở lại vào tháng 9 năm 2021, nhưng hầu hết hoạt động diễn ra trong và sau tháng 1 năm 2022. Nạn nhân của mối đe dọa đã được xác định là các công ty hoạt động trong lĩnh vực công nghệ và sản xuất, nhưng có khả năng là những người khác. Cần lưu ý rằng, cho đến nay, mục tiêu của các tác nhân đe dọa vẫn chưa được xác nhận.

Khai thác các công cụ Windows hợp pháp

Chuỗi lây nhiễm của Raspberry Robin bắt đầu từ các ổ đĩa di động bị nhiễm virus như thiết bị USB. Các ổ đĩa này chứa sâu Raspberry Robin ở dạng tệp .lnk lối tắt, được ngụy trang thành một thư mục hợp pháp. Mối đe dọa sẽ kích hoạt sau khi ổ đĩa bị hỏng được kết nối với máy tính. Nó lợi dụng cmd.exe để đọc và sau đó thực thi một tệp được tìm thấy trên ổ đĩa ngoài bị nhiễm. Các nhà nghiên cứu đã phát hiện ra rằng lệnh này nhất quán giữa các lần phát hiện Raspberry Robin khác nhau và có thể được sử dụng như một chỉ báo về các hoạt động đe dọa do sâu thực hiện.

Là một phần trong các hành động của nó, phần mềm độc hại này tận dụng nhiều lợi thế của các tiện ích hợp pháp của Windows. Nó khai thác msiexec.exe (Trình cài đặt tiêu chuẩn của Microsoft) để tìm nạp và thực thi tệp DLL bị xâm phạm, cùng với các gói trình cài đặt hợp pháp khác. Tệp DLL được cho là có chức năng liên quan đến tính ổn định và được lấy từ miền Command-and-Control (C2, C&C) bị hỏng, có khả năng được lưu trữ trên các thiết bị QNAP bị xâm phạm. Hoạt động C2 gửi đi được quy cho Raspberry Robin cũng đã được quan sát bằng cách sử dụng các quy trình Windows regsvr32.exe, rundll32.exe và dllhost.exe. Các nỗ lực kết nối mạng bên ngoài nhằm vào địa chỉ IP trên các nút TOR.

Raspberry Robin cũng buộc msiexec.exe khởi chạy một tiện ích Window thực khác - fodhelper.exe. Mối đe dọa dựa vào nó để sinh ra rundll32.exe và bắt đầu một lệnh đe dọa. Tác nhân đe dọa đã chọn fodhelper.exe do khả năng khởi chạy các quy trình với đặc quyền quản trị cao hơn mà không cần kích hoạt lời nhắc Kiểm soát Tài khoản Người dùng (UAC).

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,356
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...