警告!|Red Canary警告Raspberry Robin恶意软件会通过USB驱动器实现传播
Red Canary 安全研究人员刚刚揭示了一款攻击企业的“Raspberry Robin”恶意软件,可知该蠕虫病毒会通过被感染的外部硬盘驱动器而感染 Windows PC。其实早在 2021 年 11 月,网络安全情报公司 Sekoia 就已经曝光过被“Raspberry Robin”所利用的“QNAP 蠕虫” 。但自 9 月以来,Red Canary 在某些技术与制造商客户的网络中对其展开了持续的跟踪 。
文章图片
(来自:Red Canary 官网)
【警告!|Red Canary警告Raspberry Robin恶意软件会通过USB驱动器实现传播】除了潜藏旗下的恶意软件性质,我们尚不清楚“Raspberry Robin”恶意软件的后期实际工作目的 。
文章图片
攻击流程图
当用户将受感染的 USB 驱动器连接到他们的计算机时,Raspberry Robin 就会在暗地里开启传播 。
文章图片
利用 ROT13.lnk 文件来修改注册表
该蠕虫会将自己伪装成 .lnk 快捷方式文件,然后调用 Windows 命令提示符(cmd.exe)来启动恶意软件 。
文章图片
Raspberry Robin 的 cmd.exe 命令
接着它会利用微软标准安装程序(MSIexec.exe)连接到远程的命令与控制(C2)服务器 —— 通常是易受攻击的 QNAP 设备 —— 以通过后者的出口节点来洗清攻击者的确切网络痕迹 。
文章图片
引用设备名称的混合大小写命令
文章图片
Red Canary 推测,Raspberry Robin 会通过从 C2 服务器安装恶意的动态链接库(DLL)文件,以维持长期潜伏状态 。
文章图片
Raspberry Robin 的恶意 msiexec.exe 命令
然后该恶意软件会利用 Windows 中包含的两个实用程序来调用 DLL —— 其中 Windows 设置管理器(fodhelper)旨在绕过用户账户控制(UAC),而 ODBC 驱动程序配置工具(odbcconf)则用于执行与配置 DLL。
文章图片
恶意 rundll32.exe 命令
不过安全研究人员承认这只是一个可行的假设,当前他们尚不明确相关 DLL 的作用、也未搞清楚该恶意软件是如何利用 USB 驱动器实现传播的 。
推荐阅读
- Microsoft|微软对人为操作形态的勒索软件发出警告
- 警告!|比亚迪深陷“排放门”:曾被长沙通报有毒气体问题 整改尚未完成
- 警告!|“手欠”的代价 男子一举动烧毁30余辆二手车
- 警告!|应聘短视频平台试衣员如何被骗几十万?新型刷单骗局起底
- 人物|马斯克警告推特员工:好好工作,对你们的要求会非常高
- 警告!|三菱电机承认数据造假40年 涉事产品或流入核电站
- 警告!|俄罗斯克拉斯诺亚尔斯克边疆区发生严重森林火灾 已致5死17伤
- 警告!|工厂周边百名儿童流鼻血 比亚迪陷污染指控后承诺彻底整改
- 警告!|男子未拔充电器深夜爆炸烧黑墙壁:手机没送原装 自己第三方买的
- 警告!|厦大通报4篇学位论文“存在问题” 院长导师已被约谈