Araştırmacılar, Windows cihazlarına saldıran yeni kötü amaçlı yazılım buldular, ancak tam olarak neden yaptığını tam olarak bilmiyorlar.
Red Canary’den siber güvenlik araştırmacıları, kısa süre önce, virüslü USB sürücüler aracılığıyla çevrimdışı olarak yayılan solucan benzeri yeni bir kötü amaçlı yazılım keşfetti.
Araştırmacılar bu kötü amaçlı yazılımın adını vermediler, bunun yerine onu Raspberry Robin adını verdikleri bir “kötü amaçlı etkinlik kümesi” ile ilişkilendirdiler.
Ahududu Robin
Kötü amaçlı yazılım, teknoloji ve üretim sektörlerindeki kuruluşlara ait birden fazla ağda farklı uç noktalarda bulundu.
Araştırmacılar, virüslü bir flash sürücüyü analiz ettikten sonra, solucanın kötü amaçlı bir .LNK dosyası aracılığıyla yeni cihazlara yayıldığını keşfettiler. Kurban USB sürücüsünü taktığında, solucan cmd.exe aracılığıyla yeni bir işlemi tetikleyecek ve dosyayı çalıştıracaktır.
Araştırmacılar ayrıca, C2 sunucusuna ulaşmak için solucanın Microsoft Standard Installer (msiexec.exe) kullandığını belirtiyor. Sunucunun, güvenliği ihlal edilmiş bir QNAP cihazında barındırıldığını ve TOR çıkış düğümlerinin ekstra C2 altyapısı olarak kullanıldığını tahmin ediyorlar.
Raporda, “msiexec.exe meşru yükleyici paketlerini indirip çalıştırırken, düşmanlar da kötü amaçlı yazılım dağıtmak için bundan yararlanıyor” diyor. “Raspberry Robin, C2 amaçları için kötü amaçlı bir etki alanına harici ağ iletişimini denemek için msiexec.exe’yi kullanıyor.”
Ancak kilit sorulardan biri cevapsız kaldı – araştırmacılar kötü amaçlı yazılımın sonunu henüz keşfetmediği için tüm mesele ne? Uzman, “Sonraki aşamadaki faaliyetler hakkında ek bilgi yoksa, bu kampanyaların amacı veya hedefleri hakkında çıkarımlarda bulunmak zor” dedi.
Dahası, muhtemelen kalıcılık sağlamak için kötü amaçlı bir DLL dosyası yüklediğini buldular.
Araştırmacılar, “Ahududu Robin’in neden kötü niyetli bir DLL yüklediğini de bilmiyoruz” dedi. “Bir hipotez, bu hipoteze güven oluşturmak için ek bilgi gerekmesine rağmen, virüslü bir sistemde kalıcılık sağlama girişimi olabileceğidir.”
Aracılığıyla: BleeBilgisayar
