Peneliti Peringatkan Worm Raspberry Robin yang Menargetkan Pengguna Windows

Raspberry Robin

Peneliti keamanan siber menarik perhatian pada gelombang serangan berkelanjutan yang terkait dengan kluster ancaman yang dilacak sebagai Raspberry Robin yang berada di belakang malware Windows dengan kemampuan seperti worm.

Menggambarkannya sebagai ancaman “terus-menerus” dan “menyebar”, Cybereason mengatakan telah mengamati sejumlah korban di Eropa.

Infeksi melibatkan worm yang menyebar melalui perangkat USB yang dapat dilepas yang berisi file .LNK berbahaya dan memanfaatkan perangkat penyimpanan terpasang jaringan (NAS) QNAP yang dikompromikan untuk perintah-dan-kontrol. Ini pertama kali didokumentasikan oleh para peneliti dari Red Canary pada Mei 2022.

Juga diberi kode worm QNAP oleh Sekoia, malware ini memanfaatkan biner penginstal Windows yang sah yang disebut “msiexec.exe” untuk mengunduh dan menjalankan perpustakaan bersama (DLL) berbahaya dari alat QNAP NAS yang disusupi.

“Untuk membuatnya lebih sulit dideteksi, Raspberry Robin memanfaatkan injeksi proses dalam tiga proses sistem Windows yang sah,” kata peneliti Cybereason Loïc Castel dalam sebuah penulisan teknis, menambahkannya “berkomunikasi dengan seluruh [the] infrastruktur melalui node keluar TOR.”

lk

Kegigihan pada mesin yang disusupi dicapai dengan membuat modifikasi Windows Registry untuk memuat muatan berbahaya melalui biner Windows “rundll32.exe” pada fase startup.

Kampanye, yang diyakini dimulai pada September 2021, tetap menjadi misteri sejauh ini, tanpa petunjuk tentang asal usul aktor ancaman atau tujuan akhirnya.

attack

Pengungkapan itu muncul saat QNAP mengatakan pihaknya secara aktif menyelidiki gelombang baru infeksi ransomware Checkmate yang menargetkan perangkatnya, menjadikannya yang terbaru dalam serangkaian serangan setelah AgeLocker, eCh0raix, dan DeadBolt.

Keamanan cyber

“Investigasi awal menunjukkan bahwa serangan skakmat melalui layanan SMB yang terpapar ke internet, dan menggunakan serangan kamus untuk membobol akun dengan kata sandi yang lemah,” perusahaan mencatat dalam sebuah nasihat.

Related Post :   Peretas Menyebarkan Kerangka Eksploitasi IceApple di Server MS Exchange yang Diretas

“Setelah penyerang berhasil masuk ke perangkat, mereka mengenkripsi data di folder bersama dan meninggalkan catatan tebusan dengan nama file “!CHECKMATE_DECRYPTION_README” di setiap folder.”

Sebagai tindakan pencegahan, perusahaan Taiwan merekomendasikan pelanggan untuk tidak mengekspos layanan SMB ke internet, meningkatkan kekuatan kata sandi, membuat cadangan reguler, dan memperbarui sistem operasi QNAP ke versi terbaru.


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.