اخلاء مسؤولية | DISCLAIMER
تقول Microsoft إنه تم العثور على فيروس متنقل لـ Windows تم رصده مؤخرًا على شبكات مئات المنظمات من مختلف القطاعات الصناعية.
ينتشر البرنامج الضار ، الملقب بـ Raspberry Robin ، عبر أجهزة USB المصابة ، وقد تم رصده لأول مرة في سبتمبر 2021 من قبل محللي Red Canary للاستخبارات.
لاحظت شركة Sekoia للأمن السيبراني أيضًا أنها تستخدم أجهزة QNAP NAS كخوادم قيادة وتحكم (C2) في أوائل نوفمبر [PDF] ، بينما قالت Microsoft إنها عثرت على أدوات خبيثة مرتبطة بهذه الدودة التي تم إنشاؤها في عام 2019.
تتوافق نتائج ريدموند مع تلك التي توصل إليها فريق هندسة الكشف في ريد كناري ، والذي اكتشف أيضًا هذه الدودة على شبكات عملاء متعددين ، بعضهم في قطاعي التكنولوجيا والتصنيع.
على الرغم من أن Microsoft لاحظت اتصال البرامج الضارة بالعناوين على شبكة Tor ، إلا أن الجهات الفاعلة في التهديد لم تستغل بعد الوصول الذي اكتسبوه إلى شبكات ضحاياهم.
هذا على الرغم من حقيقة أنه يمكنهم بسهولة تصعيد هجماتهم نظرًا لأن البرامج الضارة يمكنها تجاوز التحكم في حساب المستخدم (UAC) على الأنظمة المصابة باستخدام أدوات Windows الشرعية.
شاركت Microsoft هذه المعلومات في تقرير استشاري خاص بذكاء التهديدات تمت مشاركته مع Microsoft Defender لمشتركي Endpoint وشاهده BleepingComputer.
يسيء استخدام أدوات Windows المشروعة لإصابة الأجهزة الجديدة
كما ذكرنا سابقًا ، ينتشر Raspberry Robin إلى أنظمة Windows الجديدة عبر محركات أقراص USB المصابة التي تحتوي على ملف .LNK ضار.
بمجرد توصيل جهاز USB ويقوم المستخدم بالنقر فوق الارتباط ، تولد الدودة عملية msiexec باستخدام cmd.exe لتشغيل ملف ضار مخزن على محرك الأقراص المصاب.
يصيب أجهزة Windows الجديدة ، ويتواصل مع خوادم القيادة والتحكم (C2) ، وينفذ الحمولات الضارة باستخدام العديد من أدوات Windows المساعدة المشروعة:
fodhelper (ثنائي موثوق به لإدارة الميزات في إعدادات Windows) ،
msiexec (سطر الأوامر مكون Windows Installer) ،
و odbcconf (أداة لتكوين برامج تشغيل ODBC).
أوضح باحثو Red Canary أنه “بينما يقوم msiexec.exe بتنزيل حزم المثبت الشرعية وتنفيذها ، فإن الخصوم يستفيدون منها أيضًا لتقديم برامج ضارة”.
“يستخدم Raspberry Robin msiexec.exe لمحاولة اتصال الشبكة الخارجية بمجال ضار لأغراض C2.”
لم ينسب الباحثون الأمنيون الذين اكتشفوا Raspberry Robin في البرية بعد البرمجيات الخبيثة إلى مجموعة تهديد وما زالوا يعملون على إيجاد الهدف النهائي لمشغليها.
ومع ذلك ، فقد صنفت Microsoft هذه الحملة على أنها عالية المخاطر ، نظرًا لأن المهاجمين يمكنهم تنزيل ونشر برامج ضارة إضافية داخل شبكات الضحايا وتصعيد امتيازاتهم في أي وقت.