Peneliti Peringatkan Penyebaran Malware ‘Raspberry Robin’ melalui Drive Eksternal

red malware

Peneliti keamanan siber telah menemukan malware Windows baru dengan kemampuan seperti worm dan disebarkan melalui perangkat USB yang dapat dilepas.

Mengaitkan malware ke sebuah cluster bernama “Raspberry Robin,” peneliti Red Canary mencatat bahwa worm “memanfaatkan Penginstal Windows untuk menjangkau domain terkait QNAP dan mengunduh DLL berbahaya.”

Tanda-tanda paling awal dari aktivitas tersebut dikatakan terjadi pada September 2021, dengan infeksi diamati pada organisasi yang terkait dengan sektor teknologi dan manufaktur.

Rantai serangan yang berkaitan dengan Raspberry Robin dimulai dengan menghubungkan drive USB yang terinfeksi ke mesin Windows. Hadir di dalam perangkat adalah muatan worm, yang muncul sebagai file pintasan .LNK ke folder yang sah.

Raspberry Robin

Worm kemudian menangani proses baru menggunakan cmd.exe untuk membaca dan mengeksekusi file berbahaya yang tersimpan di drive eksternal.

Ini diikuti dengan meluncurkan explorer.exe dan msiexec.exe, yang terakhir digunakan untuk komunikasi jaringan eksternal ke domain jahat untuk tujuan perintah-dan-kontrol (C2) dan untuk mengunduh dan menginstal file perpustakaan DLL.

DLL berbahaya selanjutnya dimuat dan dieksekusi menggunakan rantai utilitas Windows yang sah seperti fodhelper.exe, rundll32.exe hingga rundll32.exe, dan odbcconf.exe, secara efektif melewati Kontrol Akun Pengguna (UAC).

Juga umum di seluruh deteksi Raspberry Robin adalah adanya kontak C2 keluar yang melibatkan proses regsvr32.exe, rundll32.exe, dan dllhost.exe ke alamat IP yang terkait dengan node Tor.

Related Post :   Zyxel Merilis Patch untuk Kerentanan Injeksi Perintah OS Firewall Kritis

Yang mengatakan, tujuan operator tetap tidak terjawab pada tahap ini. Juga tidak jelas bagaimana dan di mana drive eksternal terinfeksi, meskipun diduga dilakukan secara offline.

“Kami juga tidak tahu mengapa Raspberry Robin memasang DLL berbahaya,” kata para peneliti. “Satu hipotesis adalah bahwa itu mungkin upaya untuk membangun kegigihan pada sistem yang terinfeksi.”


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.