Специалисты Zscaler организовали погружение в лабиринт из шифров и ложных следов.
Raspberry Robin — это сложный вредоносный загрузчик, впервые выявленный в 2021 году и распространяющийся преимущественно через заражённые USB-устройства. Его уникальность, Для просмотра ссылки Войдиили Зарегистрируйся Zscaler, заключается в многоуровневой структуре исполнения, обфускации кода и обширных методах противодействия анализу. Злоумышленники активно используют этот инструмент для внедрения других вредоносных программ, включая Bumblebee .
Отличительной особенностью Raspberry Robin является применение TOR для связи с C2-серверами. Он также задействует низкоуровневые функции Windows для обхода систем безопасности. Его функционал распространяется от выявления исследовательской среды до развёртывания ложных загрузчиков для введения в заблуждение специалистов по кибербезопасности.
Многоуровневая структура исполнения включает восемь этапов, на каждом из которых выполняются декодирование, проверка на наличие анализа и постепенное раскрытие основного функционала. Злоумышленники применяют такие методы, как обфускация потоков управления и шифрование данных, что существенно усложняет анализ.
Для обеспечения устойчивости Raspberry Robin вносит изменения в реестр Windows и использует методы обхода контроля учётных записей пользователей (UAC). Он также может распространяться по локальной сети, используя инструменты вроде PsExec и PAExec, что делает его угрозой для корпоративных систем.
Интересной деталью является способность к автоматической защите от обнаружения. Например, Raspberry Robin замещает адреса возврата в стеке и использует сложные алгоритмы для обнаружения виртуализированных сред и отладки.
Сетевая коммуникация осуществляется через TOR, где вредонос отправляет зашифрованные данные, включая IP-адрес, параметры системы и активные процессы. Ответ от сервера может содержать дополнительный вредоносный код, который загружается и выполняется.
Raspberry Robin демонстрирует высокий уровень профессионализма своих разработчиков. Это делает его одной из самых сложных угроз, активно используемых злоумышленниками для атак на корпоративные сети.
Raspberry Robin — это сложный вредоносный загрузчик, впервые выявленный в 2021 году и распространяющийся преимущественно через заражённые USB-устройства. Его уникальность, Для просмотра ссылки Войди
Отличительной особенностью Raspberry Robin является применение TOR для связи с C2-серверами. Он также задействует низкоуровневые функции Windows для обхода систем безопасности. Его функционал распространяется от выявления исследовательской среды до развёртывания ложных загрузчиков для введения в заблуждение специалистов по кибербезопасности.
Многоуровневая структура исполнения включает восемь этапов, на каждом из которых выполняются декодирование, проверка на наличие анализа и постепенное раскрытие основного функционала. Злоумышленники применяют такие методы, как обфускация потоков управления и шифрование данных, что существенно усложняет анализ.
Для обеспечения устойчивости Raspberry Robin вносит изменения в реестр Windows и использует методы обхода контроля учётных записей пользователей (UAC). Он также может распространяться по локальной сети, используя инструменты вроде PsExec и PAExec, что делает его угрозой для корпоративных систем.
Интересной деталью является способность к автоматической защите от обнаружения. Например, Raspberry Robin замещает адреса возврата в стеке и использует сложные алгоритмы для обнаружения виртуализированных сред и отладки.
Сетевая коммуникация осуществляется через TOR, где вредонос отправляет зашифрованные данные, включая IP-адрес, параметры системы и активные процессы. Ответ от сервера может содержать дополнительный вредоносный код, который загружается и выполняется.
Raspberry Robin демонстрирует высокий уровень профессионализма своих разработчиков. Это делает его одной из самых сложных угроз, активно используемых злоумышленниками для атак на корпоративные сети.
- Источник новости
- www.securitylab.ru