多国政府办公系统遭蠕虫病毒攻击

趋势科技的研究人员发现了一种针对拉丁美洲、澳大利亚和欧洲电信和政府办公系统的覆盆子罗宾蠕虫病毒活动。

该运动至少从2022年9月开始活跃，大多数感染发生在阿根廷(34.8%)，其次是澳大利亚(23.2%)。

“从9月份开始，我们发现Raspberry Robin恶意软件样本在电信和政府办公系统中传播。”趋势科技发布的报告写道，“主要有效载荷本身包含超过10层用于混淆，一旦检测到沙盒和安全分析工具，就能够提供虚假有效载荷。”

Raspberry Robin是Red Canary网络安全研究人员发现的一种Windows蠕虫病毒，该恶意软件通过可移动USB设备传播。

恶意代码使用Windows安装程序接触到qnap相关的域并下载恶意DLL。恶意软件使用TOR出口节点作为备份C2基础设施。

该恶意软件于2021年9月首次被发现，专家们观察到它针对的是科技和制造业的组织。初始访问通常是通过受感染的可移动驱动器，通常是USB设备。

恶意软件使用cmd.exe读取并执行存储在受感染的外部驱动器上的文件，它利用msiexec.exe进行外部网络通信到流氓域作为C2下载并安装DLL库文件。

然后msiexec.exe启动一个合法的Windows实用程序fodhelper.exe，该实用程序反过来运行rundll32.exe来执行恶意命令。专家指出，由fodhelper.exe启动的进程以更高的管理权限运行，而不需要用户帐户控制提示。

IBM将该蠕虫归咎于网络犯罪团伙Evil Corp，然而，它被多个威胁行为者用来传递恶意载荷，如Clop勒索软件。

趋势科技进行的分析显示，主要的恶意软件程序包含真实和虚假的有效载荷。一旦恶意代码检测到沙箱工具，就会加载假有效载荷，同时真实有效载荷在包装层下保持混淆，随后连接到Tor网络。

一旦安装了恶意软件，使用嵌入式自定义TOR客户端联系硬编码的.onion地址，该客户端旨在使用共享内存与真正的有效负载通信，并等待进一步的命令。

在启动Tor客户端进程时，真正的有效负载随机使用一个合法的Windows进程的名称，如dllhost.exe, regsvr32.exe和rundll32.exe。

恶意软件的真正程序运行在一个专门的Windows会话中，称为session 0。

趋势科技专家发现了特权升级和LockBit勒索软件实现的反调试技术的许多相似之处，导致以下假设:

· 开发LockBit的团队也开发了Raspberry Robin。

· Raspberry Robin背后的团队也是LockBit正在使用的一些工具的制造商。

· Raspberry Robin背后的团队利用了负责LockBit所使用技术的附属机构的服务。

然而，即使Raspberry Robin使用了相同的技术，报告称也不能确定LockBit和Raspberry Robin背后的演员是相同的。