مایکروسافت: کرم USB Raspberry Robin در ماه گذشته به نزدیک به 1000 سازمان حمله کرده است.
شرکت امنیتی Red Canary کشف کرد کرم رازبری رابین در سپتامبر 2021 و گفت که اغلب بر روی سیستم های ویندوز از طریق یک درایو USB نصب می شود که حاوی یک فایل میانبر LNK است که به عنوان یک پوشه پنهان شده است. این بدافزار برای اجرا به قربانیان متکی است که یک درایو USB را وارد می کنند. در حالی که اجرای خودکار رسانههای قابل جابجایی به طور پیشفرض در ویندوز غیرفعال است، مایکروسافت خاطرنشان میکند که بسیاری از سازمانها آن را از طریق تغییرات قدیمی Group Policy فعال میکنند.
مایکروسافت استقرارهای Clop مرتبط با استفاده از Raspberry Robin را به گروهی که به عنوان DEV-0950 ردیابی می کند نسبت می دهد. فعالیتهای آن با گروههای هک پیشرفته که توسط FireEye بهعنوان FIN11 ردیابی میشوند، همپوشانی دارند. این گروه سال گذشته داده های قربانیان خود را در سایت نشت باج افزار Clop منتشر کرد.
MSTIC توضیح میدهد: «فایل LNK Raspberry Robin به cmd.exe اشاره میکند تا سرویس Windows Installer msiexec.exe را راهاندازی کند و یک بار مخرب میزبانی شده روی دستگاههای ذخیرهسازی متصل به شبکه QNAP (NAS) در معرض خطر قرار گیرد.
بدافزار Raspberry Robin قبلاً با بدافزار FakeUpdates نصب شده بود که به گروه جرایم سایبری روسیه EvilCorp مرتبط بود. Raspberry Robin همچنین برای استقرار باج افزار Lockbit و همچنین بدافزارهای IcedID، Bumblebee و Truebot استفاده شده است. اکنون، مایکروسافت دیده است که از آن برای استقرار باج افزار Clop استفاده می شود.
تصویر: MAU / Getty Images
این تغییر می تواند توضیح دهد که چرا نام فایل های میانبر از نام های عمومی تر مانند recovery.lnk به نام های تجاری درایوهای USB تغییر کرده است. مایکروسافت مشکوک است که این کار برای تشویق کاربر به اجرای فایل LNK است. همچنین از دستگاه های ذخیره سازی در معرض خطر QNAP می خواهد تا یک بار مخرب را تحویل دهند.
MSTIC خاطرنشان می کند: “برخی درایوهای Raspberry Robin فقط دارای LNK و فایل های اجرایی هستند، در حالی که درایوهای آلوده شده قبلی دارای autorun.inf پیکربندی شده هستند.”
“DEV-0950 به طور سنتی از فیشینگ برای بدست آوردن اکثر قربانیان خود استفاده می کند، بنابراین این تغییر قابل توجه در استفاده از Raspberry Robin آنها را قادر می سازد تا محموله ها را به عفونت های موجود تحویل دهند و کمپین های خود را سریعتر به مراحل باج افزار منتقل کنند.” مرکز اطلاعاتی تهدیدات امنیتی مایکروسافت (MSTIC).
MSTIC دریافته است که Raspberry Robin هم به اتوران و هم فریب دادن کاربران برای کلیک کردن روی فایل LINK متکی است.
مایکروسافت برخی از اتصالات را بین Raspberry Robin و یک بدافزار دیگر به نام Fauppod پیدا کرده است که با دستگاه های QNAP آسیب دیده ارتباط برقرار می کند. Fauppod یک بدافزار بسیار مبهم است که در دات نت نوشته شده است. مایکروسافت معتقد است Fauppod بخشی از روش اولیه است که توسط آن Raspberry Robin ماشین ها را آلوده می کند.