مایکروسافت: کرم USB Raspberry Robin در ماه گذشته به نزدیک به 1000 سازمان حمله کرده است.
شرکت امنیتی Red Canary کشف کرد کرم رازبری رابین در سپتامبر 2021 و گفت که اغلب بر روی سیستم های ویندوز از طریق یک درایو USB نصب می شود که حاوی یک فایل میانبر LNK است که به عنوان یک پوشه پنهان شده است. این بدافزار برای اجرا به قربانیان متکی است که یک درایو USB را وارد می کنند. در حالی که اجرای خودکار رسانههای قابل جابجایی به طور پیشفرض در ویندوز غیرفعال است، مایکروسافت خاطرنشان میکند که بسیاری از سازمانها آن را از طریق تغییرات قدیمی Group Policy فعال میکنند.
مایکروسافت استقرارهای Clop مرتبط با استفاده از Raspberry Robin را به گروهی که به عنوان DEV-0950 ردیابی می کند نسبت می دهد. فعالیتهای آن با گروههای هک پیشرفته که توسط FireEye بهعنوان FIN11 ردیابی میشوند، همپوشانی دارند. این گروه سال گذشته داده های قربانیان خود را در سایت نشت باج افزار Clop منتشر کرد.
MSTIC توضیح میدهد: «فایل LNK Raspberry Robin به cmd.exe اشاره میکند تا سرویس Windows Installer msiexec.exe را راهاندازی کند و یک بار مخرب میزبانی شده روی دستگاههای ذخیرهسازی متصل به شبکه QNAP (NAS) در معرض خطر قرار گیرد.
بدافزار Raspberry Robin قبلاً با بدافزار FakeUpdates نصب شده بود که به گروه جرایم سایبری روسیه EvilCorp مرتبط بود. Raspberry Robin همچنین برای استقرار باج افزار Lockbit و همچنین بدافزارهای IcedID، Bumblebee و Truebot استفاده شده است. اکنون، مایکروسافت دیده است که از آن برای استقرار باج افزار Clop استفاده می شود.
تصویر: MAU / Getty Images
این تغییر می تواند توضیح دهد که چرا نام فایل های میانبر از نام های عمومی تر مانند recovery.lnk به نام های تجاری درایوهای USB تغییر کرده است. مایکروسافت مشکوک است که این کار برای تشویق کاربر به اجرای فایل LNK است. همچنین از دستگاه های ذخیره سازی در معرض خطر QNAP می خواهد تا یک بار مخرب را تحویل دهند.
MSTIC خاطرنشان می کند: “برخی درایوهای Raspberry Robin فقط دارای LNK و فایل های اجرایی هستند، در حالی که درایوهای آلوده شده قبلی دارای autorun.inf پیکربندی شده هستند.”
“DEV-0950 به طور سنتی از فیشینگ برای بدست آوردن اکثر قربانیان خود استفاده می کند، بنابراین این تغییر قابل توجه در استفاده از Raspberry Robin آنها را قادر می سازد تا محموله ها را به عفونت های موجود تحویل دهند و کمپین های خود را سریعتر به مراحل باج افزار منتقل کنند.” مرکز اطلاعاتی تهدیدات امنیتی مایکروسافت (MSTIC).
MSTIC دریافته است که Raspberry Robin هم به اتوران و هم فریب دادن کاربران برای کلیک کردن روی فایل LINK متکی است.
مایکروسافت برخی از اتصالات را بین Raspberry Robin و یک بدافزار دیگر به نام Fauppod پیدا کرده است که با دستگاه های QNAP آسیب دیده ارتباط برقرار می کند. Fauppod یک بدافزار بسیار مبهم است که در دات نت نوشته شده است. مایکروسافت معتقد است Fauppod بخشی از روش اولیه است که توسط آن Raspberry Robin ماشین ها را آلوده می کند.
همچنین: باج افزار: چرا هنوز یک تهدید بزرگ است، و باندها به کجا می روند؟
“بر اساس تحقیقات ما، مایکروسافت در حال حاضر با اطمینان متوسط ارزیابی میکند که DLLهای .NET بالا که هم توسط عفونتهای Raspberry Robin LNK و هم نمونههای Fauppod CPL تحویل داده شدهاند، مسئول انتشار فایلهای Raspberry Robin LNK به درایوهای USB هستند. این فایلهای LNK به نوبه خود، سایر فایلها را آلوده میکنند. میزبان از طریق زنجیره عفونت که در وبلاگ Red Canary توضیح داده شده است.”
از ماه جولای، FakeUpdates، یک درب پشتی جاوا اسکریپت، از Raspberry Robin برای تحویل استفاده کرد و به تبلیغات مخربی که قبلاً برای تحویل استفاده میشد، اضافه کرد.
مایکروسافت هشدار داده است که کرم درایو USB نسبتاً جدید Raspberry Robin در 30 روز گذشته هشدارهای بارگیری را در تقریباً 3000 دستگاه در تقریباً 1000 سازمان ایجاد کرده است.
“مایکروسافت همچنین با اطمینان متوسط ارزیابی می کند که نمونه های CPL بسته بندی شده با Fauppod در حال حاضر اولین نقطه شناخته شده در زنجیره حمله برای انتشار عفونت های Raspberry Robin به اهداف هستند. یافته های مایکروسافت نشان می دهد که موجودیت های Fauppod CPL، ماژول های مبهم پخش کننده NET LNK که آنها را رها می کنند. فایلهای Raspberry Robin LNK مستند Red Canary، و Raspberry Robin DLL (یا Roshtyak، طبق Avast) همگی میتوانند بهعنوان اجزای مختلف زنجیره آلودگی بدافزار Raspberry Robin در نظر گرفته شوند.”
همچنین: امنیت سایبری دقیقاً چیست؟ و آن چرا اهمیت دارد؟
