WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Microsoft: Raspberry Robin lây nhiễm hàng trăm hệ thống mạng
Microsoft thông báo rằng sâu Windows Raspberry Robin đã lây nhiễm vào hệ thống mạng của hàng trăm tổ chức.
Raspberry Robin sử dụng Windows Installer để tiếp cận các miền liên quan đến QNAP và tải xuống tệp DLL độc hại. Mã độc sử dụng các nút thoát TOR làm cơ sở hạ tầng C2 dự phòng.
Mã độc lần đầu tiên được phát hiện vào tháng 9 năm 2021 khi nhắm mục tiêu vào các tổ chức trong ngành công nghệ và sản xuất. Con đường xâm nhập ban đầu là thông qua các ổ đĩa di động bị nhiễm, thường là các thiết bị USB.
Theo nội dung phân tích của Microsoft, “Raspberry Robin thường được lây qua các ổ đĩa di động bị nhiễm, chủ yếu là các thiết bị USB. Sâu Raspberry Robin thường xuất hiện dưới dạng một tập tin .lnk, giả mạo một thư mục hợp pháp trên thiết bị USB bị nhiễm. Ngay khi ổ đĩa nhiễm Raspberry Robin được kết nối với hệ thống, entry UserAssist được cập nhật và ghi lại quá trình thực thi giá trị được mã hóa ROT13 tham chiếu đến tệp .lnk khi được giải mã. Trong ví dụ dưới đây, q: \ erpbirel.yax giải mã thành d: \ recovery.lnk”.
Mã độc sử dụng cmd.exe để đọc và thực thi tệp được lưu trữ trên ổ đĩa ngoài bị nhiễm. Nó sử dụng msiexec.exe để giao tiếp mạng bên ngoài với miền giả mạo được sử dụng như C2 để tải xuống và cài đặt tệp thư viện DLL.
Sau đó, msiexec.exe khởi chạy fodhelper.exe, một tiện ích hợp pháp trong Windows, trước khi tiện ích này lần lượt chạy rundll32.exe để thực thi một lệnh độc. Các chuyên gia chỉ ra rằng các quy trình được khởi chạy bởi fodhelper.exe với các đặc quyền quản trị nâng cao và có thể vượt qua cơ chế kiểm soát tài khoản người dùng UAC.
Theo các nhà nghiên cứu, tìm kiếm quy trình gốc fodhelper.exe có thể giúp phát hiện tình trạng lây nhiễm.
Hiện Microsoft xác nhận rằng mã độc đã được phát hiện trên mạng của nhiều khách hàng, bao gồm các tổ chức trong lĩnh vực công nghệ và sản xuất.
Microsoft tin rằng Raspberry Robin có nguy cơ cao đối với các tổ chức vì nó có thể bị kẻ xấu sử dụng để lây nhiễm vào các mạng mục tiêu trước khi thả thêm các payload độc hại khác.
Raspberry Robin sử dụng Windows Installer để tiếp cận các miền liên quan đến QNAP và tải xuống tệp DLL độc hại. Mã độc sử dụng các nút thoát TOR làm cơ sở hạ tầng C2 dự phòng.
Mã độc lần đầu tiên được phát hiện vào tháng 9 năm 2021 khi nhắm mục tiêu vào các tổ chức trong ngành công nghệ và sản xuất. Con đường xâm nhập ban đầu là thông qua các ổ đĩa di động bị nhiễm, thường là các thiết bị USB.
Theo nội dung phân tích của Microsoft, “Raspberry Robin thường được lây qua các ổ đĩa di động bị nhiễm, chủ yếu là các thiết bị USB. Sâu Raspberry Robin thường xuất hiện dưới dạng một tập tin .lnk, giả mạo một thư mục hợp pháp trên thiết bị USB bị nhiễm. Ngay khi ổ đĩa nhiễm Raspberry Robin được kết nối với hệ thống, entry UserAssist được cập nhật và ghi lại quá trình thực thi giá trị được mã hóa ROT13 tham chiếu đến tệp .lnk khi được giải mã. Trong ví dụ dưới đây, q: \ erpbirel.yax giải mã thành d: \ recovery.lnk”.
Mã độc sử dụng cmd.exe để đọc và thực thi tệp được lưu trữ trên ổ đĩa ngoài bị nhiễm. Nó sử dụng msiexec.exe để giao tiếp mạng bên ngoài với miền giả mạo được sử dụng như C2 để tải xuống và cài đặt tệp thư viện DLL.
Sau đó, msiexec.exe khởi chạy fodhelper.exe, một tiện ích hợp pháp trong Windows, trước khi tiện ích này lần lượt chạy rundll32.exe để thực thi một lệnh độc. Các chuyên gia chỉ ra rằng các quy trình được khởi chạy bởi fodhelper.exe với các đặc quyền quản trị nâng cao và có thể vượt qua cơ chế kiểm soát tài khoản người dùng UAC.
Theo các nhà nghiên cứu, tìm kiếm quy trình gốc fodhelper.exe có thể giúp phát hiện tình trạng lây nhiễm.
Hiện Microsoft xác nhận rằng mã độc đã được phát hiện trên mạng của nhiều khách hàng, bao gồm các tổ chức trong lĩnh vực công nghệ và sản xuất.
Microsoft tin rằng Raspberry Robin có nguy cơ cao đối với các tổ chức vì nó có thể bị kẻ xấu sử dụng để lây nhiễm vào các mạng mục tiêu trước khi thả thêm các payload độc hại khác.
Theo: SecurityAffair
Chỉnh sửa lần cuối: