多國政府辦公系統遭蠕蟲病毒攻擊

趨勢科技的研究人員發現了一種針對拉丁美洲、澳大利亞和歐洲電信和政府辦公系統的覆盆子羅賓蠕蟲病毒活動。

該運動至少從2022年9月開始活躍，大多數感染發生在阿根廷(34.8%)，其次是澳大利亞(23.2%)。

“從9月份開始，我們發現Raspberry Robin惡意軟件樣本在電信和政府辦公系統中傳播。”趨勢科技發布的報告寫道，“主要有效載荷本身包含超過10層用于混淆，一旦檢測到沙盒和安全分析工具，就能夠提供虛假有效載荷。”

Raspberry Robin是Red Canary網絡安全研究人員發現的一種Windows蠕蟲病毒，該惡意軟件通過可移動USB設備傳播。

惡意代碼使用Windows安裝程序接觸到qnap相關的域并下載惡意DLL。惡意軟件使用TOR出口節點作為備份C2基礎設施。

該惡意軟件于2021年9月首次被發現，專家們觀察到它針對的是科技和制造業的組織。初始訪問通常是通過受感染的可移動驅動器，通常是USB設備。

惡意軟件使用cmd.exe讀取并執行存儲在受感染的外部驅動器上的文件，它利用msiexec.exe進行外部網絡通信到流氓域作為C2下載并安裝DLL庫文件。

然后msiexec.exe啟動一個合法的Windows實用程序fodhelper.exe，該實用程序反過來運行rundll32.exe來執行惡意命令。專家指出，由fodhelper.exe啟動的進程以更高的管理權限運行，而不需要用戶帳戶控制提示。

IBM將該蠕蟲歸咎于網絡犯罪團伙Evil Corp，然而，它被多個威脅行為者用來傳遞惡意載荷，如Clop勒索軟件。

趨勢科技進行的分析顯示，主要的惡意軟件程序包含真實和虛假的有效載荷。一旦惡意代碼檢測到沙箱工具，就會加載假有效載荷，同時真實有效載荷在包裝層下保持混淆，隨后連接到Tor網絡。

一旦安裝了惡意軟件，使用嵌入式自定義TOR客戶端聯系硬編碼的.onion地址，該客戶端旨在使用共享內存與真正的有效負載通信，并等待進一步的命令。

在啟動Tor客戶端進程時，真正的有效負載隨機使用一個合法的Windows進程的名稱，如dllhost.exe, regsvr32.exe和rundll32.exe。

惡意軟件的真正程序運行在一個專門的Windows會話中，稱為session 0。

趨勢科技專家發現了特權升級和LockBit勒索軟件實現的反調試技術的許多相似之處，導致以下假設:

· 開發LockBit的團隊也開發了Raspberry Robin。

· Raspberry Robin背后的團隊也是LockBit正在使用的一些工具的制造商。

· Raspberry Robin背后的團隊利用了負責LockBit所使用技術的附屬機構的服務。

然而，即使Raspberry Robin使用了相同的技術，報告稱也不能確定LockBit和Raspberry Robin背后的演員是相同的。