Peneliti Peringatkan Worm Raspberry Robin yang Menargetkan Pengguna Windows

  • Bagikan
Raspberry Robin

Beritaini.top Peneliti Peringatkan Worm Raspberry Robin yang Menargetkan Pengguna Windows

Robin Raspberry

Peneliti keamanan siber menarik perhatian pada gelombang serangan berkelanjutan yang terkait dengan kluster ancaman yang dilacak sebagai Raspberry Robin yang berada di belakang malware Windows dengan kemampuan seperti worm.

Menggambarkannya sebagai ancaman “terus-menerus” dan “menyebar”, Cybereason dikatakan itu mengamati sejumlah korban di Eropa.

Infeksi melibatkan worm yang menyebar melalui perangkat USB yang dapat dilepas yang berisi file .LNK berbahaya dan memanfaatkan perangkat penyimpanan terpasang jaringan (NAS) QNAP yang dikompromikan untuk perintah-dan-kontrol. Ini pertama kali didokumentasikan oleh para peneliti dari Red Canary pada Mei 2022.

Juga diberi nama kode cacing QNAP oleh Sekoia, malware memanfaatkan biner penginstal Windows yang sah yang disebut “msiexec.exe” untuk mengunduh dan menjalankan perpustakaan bersama (DLL) berbahaya dari alat QNAP NAS yang disusupi.

“Untuk membuatnya lebih sulit dideteksi, Raspberry Robin memanfaatkan injeksi proses dalam tiga proses sistem Windows yang sah,” kata peneliti Cybereason Loïc Castel dalam sebuah penulisan teknis, menambahkannya “berkomunikasi dengan seluruh [the] infrastruktur melalui node keluar TOR.”

1657330750 530 Peneliti Peringatkan Worm Raspberry Robin yang Menargetkan Pengguna Windows

Kegigihan pada mesin yang disusupi dicapai dengan membuat modifikasi Windows Registry untuk memuat muatan berbahaya melalui biner Windows “rundll32.exe” pada fase startup.

Kampanye, yang diyakini dimulai pada September 2021, tetap menjadi misteri sejauh ini, tanpa petunjuk tentang asal usul aktor ancaman atau tujuan akhirnya.

1657330750 101 Peneliti Peringatkan Worm Raspberry Robin yang Menargetkan Pengguna Windows

Pengungkapan ini muncul ketika QNAP mengatakan sedang secara aktif menyelidiki gelombang baru infeksi ransomware Checkmate yang menargetkan perangkatnya, menjadikannya yang terbaru dalam serangkaian serangan setelahnya. AgeLokereCh0raix, dan DeadBolt.

Keamanan cyber

“Investigasi awal menunjukkan bahwa serangan skakmat melalui layanan UKM terpapar ke internet, dan menggunakan serangan kamus untuk membobol akun dengan kata sandi yang lemah,” perusahaan dicatat dalam sebuah nasehat.

“Setelah penyerang berhasil masuk ke perangkat, mereka mengenkripsi data di folder bersama dan meninggalkan catatan tebusan dengan nama file “!CHECKMATE_DECRYPTION_README” di setiap folder.”

Sebagai tindakan pencegahan, perusahaan Taiwan merekomendasikan pelanggan untuk tidak mengekspos layanan SMB ke internet, meningkatkan kekuatan kata sandi, membuat cadangan reguler, dan memperbarui sistem operasi QNAP ke versi terbaru.

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.