Raspberry Robin Morphs Artık Windows Script Dosyaları Üzerinden Yayılıyor

Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar

Kötü Amaçlı Yazılım Platformu Operatörleri Kodu Gizlemek İçin Adımlar Atıyor

Prajeet Nair (@prajeetspeaks) •
11 Nisan 2024

Kötü amaçlı yazılım dağıtım platformu Raspberry Robin solucanının arkasındaki tehdit aktörleri, kötü amaçlı yazılımın tespit edilmesini ve araştırmacıların analiz etmesini zorlaştırmak için taktik değiştirdi.

Ayrıca bakınız: İsteğe Bağlı | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?

HP Tehdit Araştırma ekibi, genellikle fidye yazılımı saldırısının öncüsü olan Raspberry Robin’i dağıtan bilgisayar korsanlarının artık Windows Komut Dosyaları kullandığını ve son yükü yalnızca ilk enfeksiyon, sanal alan yerine gerçek bir aygıtta çalıştığını belirlediğinde çalıştırdığını keşfetti. .

İlk olarak 2022 yılında Red Canary tarafından açıklanan Raspberry Robin, muhtemelen hizmet olarak kötü amaçlı yazılım operatörleri tarafından kullanılan bir araçtır. Microsoft, 2022’nin sonlarında solucanın “diğer kötü amaçlı yazılım aileleriyle bağlantıları ve alternatif bulaşma yöntemleriyle karmaşık ve birbirine bağlı bir kötü amaçlı yazılım ekosisteminin parçası olduğunu” söyledi. HP’ye göre Raspberry Robin’in öncüsü olduğu kötü amaçlı yazılım aileleri arasında şunlar yer alıyor: SocGholish, Cobalt Strike, IcedID, BumbleBee ve Truebot.

İlk bulaşma vektörü USB sürücüler üzerindendi, ancak kötü amaçlı reklamlar da dahil olmak üzere diğer yöntemlere de yayıldı. Bu yılın başında operatörler, kurbanlar tarafından indirilen arşiv dosyalarını bilgisayarlara virüs bulaştırmak için kullandı. Şimdi kullanıyor .wsf HP, dosyaların olduğunu söylüyor.

Dosya formatı geliştiricilerin JScript ve VBScript gibi komut dosyalarını karıştırıp eşleştirmesine olanak tanır, çünkü Windows işletim sistemindeki yerleşik Windows Komut Dosyası Ana Bilgisayarı birden çok dilden kod çalıştırabilir.

WSF dosyaları, sistem yöneticileri ve geliştiricileri tarafından dosya işleme, sistem yapılandırması ve ağ yönetimi gibi görevleri gerçekleştirmek için yaygın olarak kullanılır. Sistem bileşenleri, uygulamalar ve dış kaynaklarla etkileşime girebilirler, bu da onları rutin görevleri otomatikleştirmek ve karmaşık süreçleri basitleştirmek için güçlü araçlar haline getirir.

Tehdit aktörlerinin WSF dosyası, HP tarafından yayınlandığı an itibarıyla Virüs Toplamında %0 tespit oranına sahipti. Bir insan komut dosyası dosyasını bir metin düzenleyicide açarsa, “karakterlerin çoğu okunamaz durumdadır.” Daha ileri analizler aynı zamanda gizleme tekniklerini de ortaya çıkarır: “Kullanılan tüm işlevler ve değişkenler bir işlev aracılığıyla kodlanır ve kodu çözülür” ve “programın kontrol akışı da gizlenir.”

Komut dosyası “ayrıca ağ kartının MAC adresini kontrol ederek çalışma zamanı ortamının sanallaştırılıp sanallaştırılmadığını belirlemek için klasik yöntemi kullanır.”

İncelemeyi önlemek için, komut dosyası diskten kendini siler ve bir hata ayıklayıcıda analiz edilirse komut satırı bağımsız değişkenleriyle yeniden başlar. İşlevsel olarak, Raspberry Robin DLL’yi web’den alıp yerel olarak depolayan bir indirici görevi görür ve antivirüs taramasına istisnalar ekleyerek tespitten kaçınır.

Menlo Security’de tehdit araştırmacısı olan Ravisankar Ramprasad, Raspberry Robin operatörlerinin, özellikle Windows sistemlerini etkileyen ayrıcalık yükseltme güvenlik açıkları olmak üzere, n günlük güvenlik açıklarından hızla yararlanma yetenekleriyle tanındıklarını söyledi.