بدافزار Raspberry.Robin از طریق دستگاههای USB آلوده منتشر میشود و اولین بار در سپتامبر ۲۰۲۱ توسط Red.Canary مشاهده شد.
منبع : مرکز مدیریت راهبردی افتا
بدافزار Raspberry.Robin از طریق دستگاههای USB آلوده منتشر میشود و اولین بار در سپتامبر ۲۰۲۱ توسط Red.Canary مشاهده شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مایکروسافت اعلام کرد که عناصر این Worm در سال ۲۰۱۹ ایجادشده که به آدرسهای شبکه Tor متصل میشود و عوامل تهدید هنوز از دسترسیهایی که به شبکههای قربانیان خود به دست آوردهاند سوءاستفاده نکردهاند.
این در حالی است که آنها میتوانند بهراحتی حملات خود را تشدید کنند، زیرا بدافزار میتواند قوانین کنترل حساب کاربری (UAC) را در سیستمهای آلوده با استفاده از ابزارهای قانونی ویندوز دور بزند.
این بدافزار از ابزارهای قانونی ویندوز برای آلوده کردن دستگاههای جدید سوءاستفاده میکند. Raspberry.Robin از طریق درایوهای USB آلوده، حاوی یک فایل مخرب LNK و از نمادهای دستگاههای قابل جابجایی مانند اشتراک شبکه و دستگاه USB، منتشر میشود.
این Worm یک فرآیند msiexec را با استفاده از cmd.exe ایجاد میکند تا یک فایل مخرب ذخیرهشده در درایو آلوده را راهاندازی کند و درنتیجه سیستمهای ویندوزی را آلوده میکند. در ادامه با سرورهای فرمان و کنترل (C&C) ارتباط برقرار میکند و محمولههای مخرب را با استفاده از ابزار قانونی ویندوز fodhelper، msiexec و odbcconf اجرا میکند. کد اصلی این بدافزار کاملاً پیچیده است.
فایلهای LNK از تکنیکهای شناختهشده از طریق یک سیستم آلوده، برای دانلود و اجرای بسته MSI حاوی یک کتابخانه مخرب استفاده میکنند.
زمانی که قربانی روی فایل میانبر کلیک میکند، سه زنجیره اجرایی با استفاده از روشهای مبهم سازی مختلف مشاهدهشده است:
● از msiexec به همراه آرگومانهای q و i برای دانلود در HTTP و نصب بسته MSI راه دور استفاده میکند. ● از wmic و آرگومان "product call install" برای دانلود در HTTP و نصب بسته MSI راه دور استفاده میکند. ● cmd.exe را فراخوانی میکند تا msiexec مخرب را راهاندازی، MSI مخرب را دانلود و اجرا کند و سپس Explorer را اجرا کند تا سرویس قابل جابجایی باز شود.
به نظر میرسد دستگاه آسیبدیده بهعنوان یک پروکسی معکوس عمل میکند و تأیید میکند که آیا URL مناسب توسط Client برای ارسال بسته مخرب MSI ارائهشده است یا خیر. اگر URL اشتباه ارائه شود، سرور با صفحه پیشفرض QNAP و پیغام خطای ۴۰۴ پاسخ میدهد، در غیر این صورت با "Server: nginx" پاسخ میدهد.
هنوز منطق پشت تولید توکن و سایر بررسیهای انجامشده توسط سرور شناسایی نشده است. MSI دانلود شده مخرب حاوی یک DLL بسیار مبهم است. این DLL، دادههای اجرای محیط (نام ایستگاه کاری، نام کاربری و غیره) را بر روی پورت ۸۰۸۰ به زیرساخت دوم متشکل از سرورهای QNAP آسیبپذیر، ارسال میکند.