انتشار بدافزار Raspberry.Robin از طریق USB
کد مطلب: 19571
تاریخ انتشار : چهارشنبه ۳۰ شهريور ۱۴۰۱ ساعت ۲۱:۰۰
 
بدافزار Raspberry.Robin از طریق دستگاه‌های USB آلوده منتشر می‌شود و اولین بار در سپتامبر ۲۰۲۱ توسط Red.Canary مشاهده شد.
انتشار بدافزار Raspberry.Robin از طریق USB
 
 
Share/Save/Bookmark
بدافزار Raspberry.Robin از طریق دستگاه‌های USB آلوده منتشر می‌شود و اولین بار در سپتامبر ۲۰۲۱ توسط Red.Canary مشاهده شد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مایکروسافت اعلام کرد که عناصر این Worm در سال ۲۰۱۹ ایجادشده که به آدرس‌های شبکه Tor متصل می‌شود و عوامل تهدید هنوز از دسترسی‌هایی که به شبکه‌های قربانیان خود به دست آورده‌اند سوءاستفاده نکرده‌اند.

این در حالی است که آن‌ها می‌توانند به‌راحتی حملات خود را تشدید کنند، زیرا بدافزار می‌تواند قوانین کنترل حساب کاربری (UAC) را در سیستم‌های آلوده با استفاده از ابزارهای قانونی ویندوز دور بزند.

این بدافزار از ابزارهای قانونی ویندوز برای آلوده کردن دستگاه‌های جدید سوءاستفاده می‌کند. Raspberry.Robin از طریق درایوهای USB آلوده، حاوی یک فایل مخرب LNK و از نمادهای دستگاه‌های قابل جابجایی مانند اشتراک شبکه و دستگاه USB، منتشر می‌شود.

این Worm یک فرآیند msiexec را با استفاده از cmd.exe ایجاد می‌کند تا یک فایل مخرب ذخیره‌شده در درایو آلوده را راه‌اندازی کند و درنتیجه سیستم‌های ویندوزی را آلوده می‌کند. در ادامه با سرورهای فرمان و کنترل (C&C) ارتباط برقرار می‌کند و محموله‌های مخرب را با استفاده از ابزار قانونی ویندوز fodhelper، msiexec و odbcconf اجرا می‌کند. کد اصلی این بدافزار کاملاً پیچیده است.

فایل‌های LNK از تکنیک‌های شناخته‌شده از طریق یک سیستم آلوده، برای دانلود و اجرای بسته MSI حاوی یک کتابخانه مخرب استفاده می‌کنند.

زمانی که قربانی روی فایل میانبر کلیک می‌کند، سه زنجیره اجرایی با استفاده از روش‌های مبهم سازی مختلف مشاهده‌شده است:

● از msiexec به همراه آرگومان‌های q و i برای دانلود در HTTP و نصب بسته MSI راه دور استفاده می‌کند.
● از wmic و آرگومان "product call install" برای دانلود در HTTP و نصب بسته MSI راه دور استفاده می‌کند.
● cmd.exe را فراخوانی می‌کند تا msiexec مخرب را راه‌اندازی، MSI مخرب را دانلود و اجرا کند و سپس Explorer را اجرا کند تا سرویس قابل جابجایی باز شود.

به نظر می‌رسد دستگاه آسیب‌دیده به‌عنوان یک پروکسی معکوس عمل می‌کند و تأیید می‌کند که آیا URL مناسب توسط Client برای ارسال بسته مخرب MSI ارائه‌شده است یا خیر. اگر URL اشتباه ارائه شود، سرور با صفحه پیش‌فرض QNAP و پیغام خطای ۴۰۴ پاسخ می‌دهد، در غیر این صورت با "Server: nginx" پاسخ می‌دهد.

هنوز منطق پشت تولید توکن و سایر بررسی‌های انجام‌شده توسط سرور شناسایی نشده است. MSI دانلود شده مخرب حاوی یک DLL بسیار مبهم است. این DLL، داده‌های اجرای محیط (نام ایستگاه کاری، نام کاربری و غیره) را بر روی پورت ۸۰۸۰ به زیرساخت دوم متشکل از سرورهای QNAP آسیب‌پذیر، ارسال می‌کند.
مرجع : مرکز مدیریت راهبردی افتا