社区编辑申请
注册/登录
研究人员警告:“Raspberry Robin”或正通过外部驱动传播
安全 应用安全
近日,网络安全研究人员发现了一种新型Windows恶意软件,其具有类似蠕虫的功能,而且通过可移动USB设备进行传播。据研究人员透露,发现这个恶意软件的活动迹象最早可以追溯到2021年9月,当时是在与技术和制造业有关的组织机构中观察到有感染现象。

近日,网络安全研究人员发现了一种新型Windows恶意软件,其具有类似蠕虫的功能,而且通过可移动USB设备进行传播。

安全机构Red Canary的研究人员将该恶意软件归于名为“Raspberry Robin”(树莓知更鸟)的集群,并指出它“利用 Windows Installer 访问与QNAP相关的域并下载恶意DLL。”

据研究人员透露,发现这个恶意软件的活动迹象最早可以追溯到2021年9月,当时是在与技术和制造业有关的组织机构中观察到有感染现象。

与Raspberry Robin相关的攻击链是从将受感染的USB驱动器连接到Windows机器开始的,在设备中出现的是蠕虫有效载荷,它以.lnk快捷方式文件的形式出现在合法文件夹中。然后,蠕虫会使用cmd.exe生成一个新的进程来读取和执行存储在部驱动器上的恶意文件。紧接着会启动explorer.exe和msiexc.exe,后者用于外部网络通信到流氓域,以实现命令和控制(C2)的目的,并下载和安装DLL库文件。最后,恶意DLL被使用一系列合法的Windows实用程序加载和执行,如fodhelper.exe、rundll32.exe到rundll32.exe和odbcconf.exe,从而有效地绕过用户帐户控制(UAC)。

值得一提的是,在Raspberry Robin检测中,outbound C2关联非常常见,通常涉及到与Tor节点关联的IP地址进程regsvr32.exe、rundll32.exe和dllhost.exe。

时至今日,研究人员尚不清楚攻击者的动机是什么。另外,研究人员也在努力弄清外部硬盘是如何以及在哪里被感染的,但就目前的推测而言,离线感染的可能性比较大。

对此,研究人员表示:“我们也不知道为什么Raspberry Robin会安装恶意DLL。我们提出了一种假设:它可能试图在受感染的系统上长期存在下去。”

责任编辑:未丽燕 来源: FreeBuf.com
相关推荐

2022-05-11 15:08:52

驱动开发系统移植

2022-06-24 10:52:47

人工智能作业帮T前线

2022-04-20 20:28:40

HDF 驱动框架鸿蒙操作系统

2022-07-01 18:24:36

勒索软件病毒网络攻击

2022-06-28 12:14:02

DockerLinux

2022-06-28 05:35:46

勒索软件网络安全网络攻击

2022-06-27 15:25:08

架构模型治理

2022-06-21 10:34:56

芯片短缺供应链问题

2022-06-28 11:16:36

机器学习数据科学

2022-06-23 11:42:22

MySQL数据库

2022-05-10 08:49:46

设备驱动Linux

2022-06-07 11:01:56

人工智能AI技术大会

2022-06-21 14:22:08

云计算混合云人工智能

2022-05-16 11:50:45

HDF驱动框架

2022-06-21 10:04:25

比特币去中心化金融体系

2022-06-24 15:13:17

区块链数字资产加密货币

2022-06-07 17:08:51

WizTreewindows工具

2022-05-12 10:58:34

Wine 7.8Linux游戏

2022-06-18 09:26:00

Flink SQLJoin 操作

2022-06-15 10:30:07

数据中心5G蜂窝网络

同话题下的热门内容

QQ大批账号被盗,网络安全该如何维护?为什么智能建筑IoT网络安全标准很重要?区块链在网络信任体系中的应用研究Web 3.0 对软件行业的影响你安装的 Chrome 扩展的组合可以跟踪你黑客用AI换脸技术应聘 人工智能安全问题不容忽视如何把个人信息“安全堤”筑得更牢供应链的模糊如何为网络攻击者打开大门以及如何关闭

编辑推荐

权威解读 | 网络安全等级保护2.0标准体系以及主要标准百亿级访问量的实时监控系统如何实现?浅谈反浏览器指纹追踪符号执行:利用Angr进行简单CTF逆向分析拿什么拯救你,我的网络安全
我收藏的内容
点赞
收藏

51CTO技术栈公众号