Raspberry Robin回归：新恶意软件活动通过WSF文件传播

网络安全研究人员发现了新的 Raspberry Robin 活动浪潮，自 2024 年 3 月以来，该浪潮通过恶意 Windows 脚本文件 (WSF) 传播恶意软件。

HP Wolf 安全研究员 Patrick Schläpfer在与 The Hacker News 分享的一份报告中表示：“从历史上看，Raspberry Robin 已知通过 USB 驱动器等可移动介质进行传播，但随着时间的推移，其分销商尝试了其他初始感染媒介。”

Raspberry Robin，也称为 QNAP 蠕虫，于 2021 年 9 月首次被发现，近年来已发展成为各种其他有效负载的下载器，例如SocGholish、Cobalt Strike、IcedID、BumbleBee 和 TrueBot，并且也是勒索软件。

虽然该恶意软件最初是通过包含 LNK 文件的 USB 设备进行分发的，这些 LNK 文件从受感染的 QNAP 设备中检索有效负载，但此后它采用了其他方法，例如社会工程和恶意广告。

这归因于微软追踪的一个名为 Storm-0856 的新兴威胁集群，该威胁集群与更广泛的网络犯罪生态系统有联系，其中包括 Evil Corp、Silence 和 TA505 等组织。

最新的分发向量需要使用可通过各种域和子域下载的 WSF 文件。

目前尚不清楚攻击者如何将受害者引导至这些 URL，但怀疑可能是通过垃圾邮件或恶意广告活动。

严重混淆的 WSF 文件充当下载程序，使用curl 命令从远程服务器检索主 DLL 有效负载，但在此之前会执行一系列反分析和反虚拟机评估，以确定它是否正在运行。虚拟化环境。

如果 Windows 操作系统的内部版本号低于 17063（ 2017 年 12 月发布）并且正在运行的进程列表包含与 Avast、Avira、Bitdefender、Check Point、ESET 相关的防病毒进程，它还可以终止执行和卡巴斯基。

此外，它还配置了 Microsoft Defender 防病毒排除规则，通过将整个主驱动器添加到排除列表并防止其被扫描来避开检测。

惠普表示：“目前 VirusTotal 上的任何反病毒扫描程序均未将这些脚本本身归类为恶意脚本，这表明该恶意软件具有逃避性，并且存在导致 Raspberry Robin 严重感染的风险。”

“WSF 下载程序严重混淆，并使用许多分析技术，使恶意软件能够逃避检测并减慢分析速度。”