Компания Trend Micro обнаружила образцы вредоносной программы Raspberry Robin, распространяющейся в телекоммуникационных и правительственных офисных системах, начиная с сентября. Основная полезная нагрузка содержит более 10 слоев обфускации и способна передавать поддельную полезную нагрузку, как только обнаруживает средства "песочницы" и аналитики безопасности.
Trend Micro обнаружили образец вредоносного ПО, предположительно способного подключаться к сети Tor для доставки полезной нагрузки. Первоначальный анализ вредоносной программы, которая скомпрометировала ряд организаций в конце сентября, показал, что хотя основная программа вредоносной программы содержит как настоящую, так и поддельную полезную нагрузку, она загружает поддельную полезную нагрузку, как только обнаруживает инструменты песочницы, чтобы избежать обнаружения и изучения настоящей программы средствами безопасности и анализа. При этом настоящая полезная нагрузка остается обфусцированной под слоями упаковки и впоследствии подключается к сети Tor. Кампания и вредоносное ПО, идентифицированное Red Canary как Raspberry Robin (обнаруженное Trend Micro как Backdoor.Win32.RASPBERRYROBIN.A), похоже, распространяется на системы с червеподобными возможностями (благодаря использованию файлов .lnk) через зараженный USB.
Учитывая многослойность вредоносной программы и этапы ее заражения, Trend Micro все еще подтверждает основную мотивацию ее распространения. В настоящее время возможная мотивация варьируется от кражи до кибершпионажа. На данный момент Trend Micro отметили способность вредоносной программы скрывать себя с помощью нескольких слоев обфускации, а также ее особенность доставлять поддельную полезную нагрузку, когда программа обнаруживает решения для песочницы и анализа. Группа, стоящая за Raspberry Robin, похоже, тестирует насколько далеко могут распространиться ее внедрения. Большинство жертв группы - это правительственные агентства или телекоммуникационные организации из Латинской Америки, Океании (Австралии) и Европы.
Indicators of Compromise
SHA256
- 6fb0ad3f756b5d1f871cf34c3e4ea47cb34643cd17709a09c25076c400313adf