Raspberry Robin 被观察到通过 Windows 脚本文件传播 媒体

Raspberry Robin 蠕虫新扩散方式

文章重点

Raspberry Robin 蠕虫通过 Windows 脚本档案 (WSF) 扩散，加强了避检措施。此恶意程式可以透过 USB 和其他档案类型进行初始感染。一旦感染，Raspberry Robin 会透过 Tor 与指挥控制伺服器通信，并下载其他恶意程式。安全团队应优先对此恶意程式早期进行防范。

HP 威胁研究团队上个月观察到，网路犯罪分子已经改变了扩散 Windows 蠕虫 Raspberry Robin 的方式。研究人员在 4月10日的博文 中指出，Raspberry Robin 现在是透过 Windows 脚本档案 (WSF) 传播的。这些脚本档案高度混淆，使得恶意程式能够逃避检测。

研究人员表示，Raspberry Robin 以往主要通过 USB 等可移动媒介进行扩散，但其分发者也尝试了其他初始感染文件类型。HP 的研究团队写道：“WSF 下载器经过高度混淆，并使用多种反分析和反虚拟机的技术，使得恶意程式能够逃避检测并减缓分析速度。这尤其令人担忧，因为 Raspberry Robin 曾用作人为运营的勒索软体的先导。在其感染链的早期进行对抗是安全团队的一项高优先级任务。”

Raspberry Robin 于 2021 年被 Red Canary 发现并命名，最初针对技术和制造公司，但现在已成为各类企业的威胁。HP 的研究人员表示，一旦攻击者用 Raspberry Robin 感染系统，该恶意程式将通过 Tor 与指挥控制伺服器通信，从而下载并执行额外的有效载荷。Raspberry Robin 已被用来传递多种恶意程式，包括 SocGholish、Cobalt Strike、IcedID、BumbleBee 和 Truebot。这也使其成为勒索软体的前身。

蓝灯加速器怎么用

Viakoo Labs 的副总裁 John Gallagher 表示，威胁行为者会不断寻找重复利用有效恶意程式的方法。Gallagher 指出，Raspberry Robin 的不同之处在于其从针对 IoT 的 QNAP 可移动媒介传递升级至更中心的 IT 基于 Windows 的系统。

Gallagher 说：“IoT 的传递可能是主要事件的热身行为。IoT 系统通常位于隐藏或分段的网络中，转向 Windows 系统后将会有更多的利用机会。最令人担忧的是 Raspberry Robin 使用的复杂的反检测方法，这使得沙箱测试变得无效。组织应考虑采取其他措施限制 WSF 的使用，直到有更好的早期检测方法可用。”

“WSF 允许使用多种脚本语言，过去也曾被恶意程式使用，”Ontinue 的威胁响应负责人 Balazs Greksza 补充说。

Greksza 提到：“去年的一个例子是 Qbot。此报告中的 Raspberry Robin 下载器似乎目前避开了防御。然而，传递的威胁