Raspberry Robin 蠕虫新扩散方式

文章重点

• Raspberry Robin 蠕虫通过 Windows 脚本档案 (WSF) 扩散，加强了避检措施。
• 此恶意程式可以透过 USB 和其他档案类型进行初始感染。
• 一旦感染，Raspberry Robin 会透过 Tor 与指挥控制伺服器通信，并下载其他恶意程式。
• 安全团队应优先对此恶意程式早期进行防范。

HP 威胁研究团队上个月观察到，网路犯罪分子已经改变了扩散 Windows 蠕虫 Raspberry Robin 的方式。研究人员在 中指出，Raspberry Robin 现在是透过 Windows 脚本档案 (WSF) 传播的。这些脚本档案高度混淆，使得恶意程式能够逃避检测。

研究人员表示，Raspberry Robin 以往主要通过 USB 等可移动媒介进行扩散，但其分发者也尝试了其他初始感染文件类型。HP的研究团队写道：“WSF 下载器经过高度混淆，并使用多种反分析和反虚拟机的技术，使得恶意程式能够逃避检测并减缓分析速度。这尤其令人担忧，因为 Raspberry Robin 曾用作人为运营的勒索软体的先导。在其感染链的早期进行对抗是安全团队的一项高优先级任务。”

Raspberry Robin 于 2021 年被 ，最初针对技术和制造公司，但现在已成为各类企业的威胁。HP的研究人员表示，一旦攻击者用 Raspberry Robin 感染系统，该恶意程式将通过 Tor与指挥控制伺服器通信，从而下载并执行额外的有效载荷。Raspberry Robin 已被用来传递多种恶意程式，包括 、、、 和 。这也使其成为勒索软体的前身。

Viakoo Labs 的副总裁 John Gallagher 表示，威胁行为者会不断寻找重复利用有效恶意程式的方法。Gallagher指出，Raspberry Robin 的不同之处在于其从针对 IoT 的 QNAP 可移动媒介传递升级至更中心的 IT 基于 Windows 的系统。

Gallagher 说：“IoT 的传递可能是主要事件的热身行为。IoT 系统通常位于隐藏或分段的网络中，转向 Windows系统后将会有更多的利用机会。最令人担忧的是 Raspberry Robin 使用的复杂的反检测方法，这使得沙箱测试变得无效。组织应考虑采取其他措施限制 WSF 的使用，直到有更好的早期检测方法可用。”

“WSF 允许使用多种脚本语言，过去也曾被恶意程式使用，”Ontinue 的威胁响应负责人 Balazs Greksza 补充说。

Greksza 提到：“去年的一个例子是 Qbot。此报告中的 Raspberry Robin 下载器似乎目前避开了防御。然而，传递的威胁