Компания Trend Micro обнаружила опасную вредоносную программу под названием Raspberry Robin, которая активно распространяется в корпоративных и государственных сетях с сентября этого года. По данным аналитиков, зловред демонстрирует высокий уровень сложности: его основная вредоносная нагрузка содержит более десяти уровней обфускации, что значительно затрудняет детектирование и анализ. Более того, если вредонос выявляет инструменты виртуального анализа, такие как песочницы или системы мониторинга безопасности, он немедленно загружает ложную полезную нагрузку, чтобы сбить исследователей с толку и скрыть свои истинные намерения.
Описание
Исследователи предполагают, что Raspberry Robin использует сеть Tor для скрытой передачи данных, что значительно усложняет отслеживание его активности. Первоначальные данные показывают, что программа обладает двойной полезной нагрузкой: одна часть имитирует безвредные процессы, а вторая, скрытая за многослойной обфускацией, активируется только в безопасной среде. После этого зловред устанавливает соединение с Tor-сетью, что может указывать на его использование для скрытого взаимодействия с серверами злоумышленников.
Кампания, связанная с Raspberry Robin, была впервые обнаружена экспертами Red Canary, а специалисты Trend Micro классифицировали угрозу как Backdoor.Win32.RASPBERRYROBIN.A. Похоже, что вредонос распространяется через зараженные USB-накопители, используя файлы с расширением .lnk для автоматического запуска. Эта техника напоминает поведение червей, что делает угрозу особенно опасной в корпоративных сетях, где активно используется съемное оборудование.
В настоящее время мотивация создателей вредоноса остается не до конца ясной. Возможные сценарии варьируются от банальной кражи данных до целенаправленного кибершпионажа. Однако уже сейчас ясно, что злоумышленники тщательно продумали механизмы защиты от обнаружения: программа не только маскируется под легитимное ПО, но и активно противодействует анализу в песочницах.
Текущая география атак показывает, что основными целями становятся организации из Латинской Америки, Австралии и Европы, причем наибольшее число инцидентов зафиксировано в государственных учреждениях и телеком-компаниях. Это может указывать на то, что злоумышленники тестируют возможности вредоноса в различных инфраструктурах, прежде чем перейти к более масштабным атакам.
Эксперты Trend Micro продолжают исследование угрозы, чтобы точно определить ее происхождение, возможные векторы атак и конечные цели злоумышленников. Пока специалисты рекомендуют организациям усилить меры защиты, особенно в отношении съемных носителей, а также мониторить сетевую активность на предмет подозрительных соединений с Tor-сетью.
Учитывая сложность и изощренность Raspberry Robin, эта угроза может представлять серьезную опасность для корпоративных и государственных систем.
Индикаторы компрометации
SHA256
- 6fb0ad3f756b5d1f871cf34c3e4ea47cb34643cd17709a09c25076c400313adf
