Kiberbiztonsági veszély fenyegeti az Európai pénzügyi és biztosítási ágazatot - a Raspberry Robin kártevő által

2023-01-18 09:34


Az európai pénzügyi és biztosítási szektorokat vette célba egy Raspberry Robin néven futó kártevő (worm / féreg), amely alattomos módon képes továbbfejleszteni magát, miután aktivizálták úgy, hogy közben észrevétlen marad - amíg nagyobb kárt nem okoz.

Kiberbiztonsági veszély fenyegeti az Európai pénzügyi és biztosítási ágazatot - Raspberry Robin

"A kártevő egyedülállónak tekinthető, mivel rendkívül bonyolult nála az obfuszkáció és nagyon nehéz statikusan elemeire bontani" - írja a Security Joes nemrég közzétett új jelentésében.

Az eddig megfigyelt spanyol és portugál szervezetek elleni behatolások feltűnőek voltak, mivel a korábban dokumentáltnál több számítógép és rendszer esett áldozatul, és lopták el az adataikat. Mostanra azonban a kártevők már kifinomult technikákat használnak, hogy ellenálljanak az elemzéseknek.

A Raspberry Robin-t, más néven QNAP féreget, több támadó is használta arra, hogy bejusson a célzott hálózatokba. A fertőzött USB-meghajtókkal és más módszerekkel terjedő módszereket eddig a távközlési és kormányzati szektor ellen irányuló támadásokban alkalmazták.

A Microsoft DEV-0856 néven követi nyomon a Raspberry Robin üzemeltetőit.

A Security Joes vizsgálata, az egyik ilyen támadással kapcsolatban feltárta egy 7-Zip fájl használatát, amelyet az áldozat böngészőjéből töltöttek le social engineering segítségével, és amely egy MSI telepítőfájlt tartalmazott, amelyet több modul ledobására terveztek.

Egy másik esetben a ZIP-fájlt az áldozat állítólag egy olyan átverős hirdetésből töltötte le, amelyről ismert, hogy adware-t terjeszt.

A Discord szerveren tárolt archív fájl kódolt JavaScript kódot tartalmaz, amely végrehajtáskor egy olyan letöltőprogramot dob le a rendszerre, amelyet több rétegű obfuszkációval és titkosítással védenek, hogy elkerüljék a felismerhetőséget.

A shellcode letöltő elsősorban további futtatható fájlok lekérésére készült, de jelentős fejlesztéseken is átesett, amelyek lehetővé teszik számára, hogy profilozza áldozatait a megfelelő adatok ellopásához, sőt egyes esetekben még hamis-malware-eket is alkalmaznak a figyelemeltereléshez.

Ennek során a kártevő régebbi verziói által gyűjtött host-név és felhasználónév információk mellett, összegyűjti a host-név és a felhasználónév adatait is, valamint a rendszer indítása óta eltelt percek számát is.

A felderítési adatokat ezután egy hard-coded kulcs segítségével titkosítják, és továbbítják egy parancs- és vezérlőszerverre (C2), amely egy Windows bináris programmal válaszol, amit végül végrehajtanak a gépen.

"Nemcsak a kártevő többszörösen összetettebb változatát fedeztük fel, hanem azt is megállapítottuk, hogy a C2 jeladó, amely korábban egy egyszerű szöveges felhasználónevet és host-nevet tartalmazó URL-t tartalmazott, most már egy robusztus RC4 titkosítással rendelkezik" - írta Felipe Duarte elemző.

Amennyiben úgy érzi, hogy az Ön rendszere veszélyben van, forduljon hozzánk bizalommal.

Forrást: TheHackerNews