网络安全研究人员发现了新的 Raspberry Robin 活动浪潮,自 2024 年 3 月以来,该浪潮通过恶意 Windows 脚本文件 ( WSF ) 传播恶意软件。
HP Wolf 安全研究员 Patrick Schläpfer在与 The Hacker News 分享的一份报告中表示: “从历史上看,Raspberry Robin 已知通过 USB 驱动器等可移动介质进行传播,但随着时间的推移,其分销商尝试了其他初始感染媒介。”
Raspberry Robin,也称为 QNAP 蠕虫,于 2021 年 9 月首次被发现,近年来已发展成为各种其他有效负载的下载器,例如 SocGholish、Cobalt Strike、IcedID、BumbleBee 和 TrueBot,并且也是勒索软件。
虽然该恶意软件最初是通过包含 LNK 文件的 USB 设备进行分发的,这些 LNK 文件从受感染的 QNAP 设备中检索有效负载,但此后它采用了其他方法,例如社会工程和恶意广告。
这归因于微软追踪的一个名为 Storm-0856 的新兴威胁集群,该威胁集群与更广泛的网络犯罪生态系统有联系,其中包括 Evil Corp、Silence 和 TA505 等组织。
最新的分发向量需要使用可通过各种域和子域下载的 WSF 文件。
目前尚不清楚攻击者如何将受害者引导至这些 URL,但怀疑可能是通过垃圾邮件或恶意广告活动。
严重混淆的 WSF 文件充当下载程序,使用curl 命令从远程服务器检索主 DLL 有效负载,但在此之前会执行一系列反分析和反虚拟机评估,以确定它是否正在运行。虚拟化环境。
如果 Windows 操作系统的内部版本号低于 17063( 2017 年 12 月发布)并且正在运行的进程列表包含与 Avast、Avira、Bitdefender、Check Point、ESET 相关的防病毒进程,它还可以终止执行和卡巴斯基。
此外,它还配置了 Microsoft Defender 防病毒排除规则,通过将整个主驱动器添加到排除列表并防止其被扫描来避开检测。
惠普表示:“目前 VirusTotal 上的任何反病毒扫描程序均未将这些脚本本身归类为恶意脚本,这表明该恶意软件具有逃避性,并且存在导致 Raspberry Robin 严重感染的风险。”
“WSF 下载程序严重混淆,并使用许多分析技术,使恶意软件能够逃避检测并减慢分析速度。”
发表评论
您还未登录,请先登录。
登录