Raspberry Robin蠕虫攻击电信公司和政府
Raspberry Robin蠕虫攻击被发现针对拉丁美洲、澳大利亚和欧洲的电信和政府办公系统。
研究人员从九月开始就发现了在电信和政府办公系统中传播的Raspberry Robin(Backdoor.Win32.RASPBERRYROBIN.A)恶意软件样本。活动初始入口点始于受感染的USB设备,一旦用户将其连接到系统中,Raspberry Robin最初便会以LNK文件形式出现。
LNK文件包含一个命令行,该命令行运行合法的可执行文件(通常是msiexec.exe或wmic.exe)以下载Windows Installer (MSI)程序包,最终下载执行Raspberry Robin有效载荷。为防止研究人员分析此恶意软件,Raspberry Robin的主要有效载荷本身被多次打包,共包含10多个混淆层,每一层都被严重混淆。
此外,该恶意软件背后的团队似乎是LockBit也在使用的工具的制造商。鉴于恶意软件的分层特征及其感染例程的阶段,研究人员推测攻击者可能的动机包括盗窃和进行网络间谍活动。