Microsoft, Raspberry Robin solucanının son 30 gün içinde yaklaşık 1.000 kuruluşun cihazında yük uyarılarını tetiklediği ve fidye yazılımı yaymak için kullanıldığı konusunda uyarıyor.
Artık solucanın, bu Microsoft Güvenlik blogunda belirtildiği gibi, fidye yazılımı gibi daha ciddi tehditler için dayanak noktası olduğu bulundu. Microsoft, solucanın son 30 gün içinde yaklaşık 1.000 kuruluşun cihazlarında yük uyarılarını tetiklediği konusunda uyarıyor.
Birincil enfeksiyon
Başlangıçta, Raspberry Robin solucanı genellikle, virüslü USB cihazında meşru bir klasör gibi görünen bir kısayol .lnk dosyası olarak görünür. lnk dosyasının adı şuydu: kurtarma.lnk daha sonra USB cihazının markasıyla ilişkili dosya adlarına dönüştü. Raspberry Robin, kullanıcıları LNK dosyasına tıklamaya teşvik etmek için hem başlatmak için otomatik çalıştırmaları hem de sosyal mühendisliği kullanır.
Raspberry Robin’in LNK dosyası şunu gösteriyor: cmd.exe Windows Installer hizmetini başlatmak için msiexec.exe ve güvenliği ihlal edilmiş QNAP ağına bağlı depolama (NAS) cihazlarında barındırılan kötü amaçlı bir yük yükleyin.
altyapı
NAS cihazı, Windows, macOS ve diğer sistemler dahil olmak üzere çok çeşitli cihazlar tarafından erişilebilen verileri depolayan bir bilgisayar ağına bağlı bir depolama sunucusudur. Gerçek hayatta bu, genellikle intranet veya internet üzerinden erişilebilen harici bir sabit sürücü olarak kullanıldığı anlamına gelir. Yamaları mevcut olan QNAP cihazlarında birkaç güvenlik açığı vardır, ancak ne yazık ki birçoğu farkında olmadan yamasız kalmaktadır.
Arka kapı
Bir arka kapı olarak hareket edebilmek için kötü amaçlı yazılımın etkin olması veya onu uzaktan tetikleyebilmeniz gerekir. Raspberry Robin, kendisini ilk kötü amaçlı yazılımı çalıştıran kullanıcının CurrentUser kayıt defteri kovanındaki RunOnce anahtarına ekleyerek kalıcılık kazanır.
Raspberry Robin implantı, Tor düğümlerinde barındırılan komut ve kontrol (C2) sunucularını kullanarak diğer kötü amaçlı yazılımları dağıtmak için kullanılabilir.
Misafirler
Mevcut bir hizmet olarak kötü amaçlı yazılım ortamında köklü bir erişim sağlayıcı olarak, etkilenen ağlara erişimi fidye yazılımı grupları gibi diğer kötü amaçlı yazılım operatörlerine satarak para kazanabilirsiniz. Microsoft, Raspberry Robin’in FakeUpdates (SocGholish), Fauppod, IcedID, Bumblebee, TrueBot, LockBit ve insan tarafından çalıştırılan izinsiz girişleri kolaylaştırmak için kullanıldığını tespit etti.
Fauppod, FakeUpdates’i yaymak için de kullanılan ve Raspberry Robin’i USB sürücülere yazan, oldukça gizlenmiş bir kötü amaçlı yazılımdır. TrueBot Truva atları, keşif amaçlı hedefli saldırılarda kullanılır.
Clop fidye yazılımını teslim etmek için Cobalt Strike’ın konuşlandırılması, insan tarafından yürütülen izinsiz girişlere bir örnektir.
solucanı durdur
Windows’ta, USB sürücülerin otomatik çalıştırılması varsayılan olarak devre dışıdır. Bununla birlikte, Microsoft’a göre birçok kuruluş, eski Grup İlkesi değişiklikleri aracılığıyla bunu geniş çapta etkinleştirdi. Etkinleştirdiyseniz, bu yeniden düşünmeye değer bir politikadır.
QNAP cihazlarının sahipleri, yamaları uygulamayarak yalnızca kendi dosyalarını riske atmakla kalmayıp, aynı zamanda kötü amaçlı yazılım yazarlarına başkalarını mağdur etmek için kullanımı ücretsiz bir altyapı sağladıklarının farkında olmalıdır.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.