Raspberry Robin回归:新恶意软件活动通过WSF文件传播

阅读量48974

发布时间 : 2024-04-11 11:23:02

网络安全研究人员发现了新的 Raspberry Robin 活动浪潮,自 2024 年 3 月以来,该浪潮通过恶意 Windows 脚本文件 ( WSF ) 传播恶意软件。

HP Wolf 安全研究员 Patrick Schläpfer在与 The Hacker News 分享的一份报告中表示: “从历史上看,Raspberry Robin 已知通过 USB 驱动器等可移动介质进行传播,但随着时间的推移,其分销商尝试了其他初始感染媒介。”

Raspberry Robin,也称为 QNAP 蠕虫,于 2021 年 9 月首次被发现,近年来已发展成为各种其他有效负载的下载器,例如 SocGholish、Cobalt Strike、IcedID、BumbleBee 和 TrueBot,并且也是勒索软件。

虽然该恶意软件最初是通过包含 LNK 文件的 USB 设备进行分发的,这些 LNK 文件从受感染的 QNAP 设备中检索有效负载,但此后它采用了其他方法,例如社会工程和恶意广告。

这归因于微软追踪的一个名为 Storm-0856 的新兴威胁集群,该威胁集群与更广泛的网络犯罪生态系统有联系,其中包括 Evil Corp、Silence 和 TA505 等组织。

最新的分发向量需要使用可通过各种域和子域下载的 WSF 文件。

目前尚不清楚攻击者如何将受害者引导至这些 URL,但怀疑可能是通过垃圾邮件或恶意广告活动。

严重混淆的 WSF 文件充当下载程序,使用curl 命令从远程服务器检索主 DLL 有效负载,但在此之前会执行一系列反分析和反虚拟机评估,以确定它是否正在运行。虚拟化环境。

如果 Windows 操作系统的内部版本号低于 17063( 2017 年 12 月发布)并且正在运行的进程列表包含与 Avast、Avira、Bitdefender、Check Point、ESET 相关的防病毒进程,它还可以终止执行和卡巴斯基。

此外,它还配置了 Microsoft Defender 防病毒排除规则,通过将整个主驱动器添加到排除列表并防止其被扫描来避开检测。

惠普表示:“目前 VirusTotal 上的任何反病毒扫描程序均未将这些脚本本身归类为恶意脚本,这表明该恶意软件具有逃避性,并且存在导致 Raspberry Robin 严重感染的风险。”

“WSF 下载程序严重混淆,并使用许多分析技术,使恶意软件能够逃避检测并减慢分析速度。”

本文转载自:

如若转载,请注明出处: https://thehackernews.com/2024/04/raspberry-robin-returns-new-malware.html

安全客 - 有思想的安全新媒体

分享到:微信
+17赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66