Специалисты Zscaler организовали погружение в лабиринт из шифров и ложных следов.
Raspberry Robin — это сложный вредоносный загрузчик, впервые выявленный в 2021 году и распространяющийся преимущественно через заражённые USB-устройства. Его уникальность, согласно отчёту Zscaler, заключается в многоуровневой структуре исполнения, обфускации кода и обширных методах противодействия анализу. Злоумышленники активно используют этот инструмент для внедрения других вредоносных программ, включая Bumblebee.
Отличительной особенностью Raspberry Robin является применение TOR для связи с C2-серверами. Он также задействует низкоуровневые функции Windows для обхода систем безопасности. Его функционал распространяется от выявления исследовательской среды до развёртывания ложных загрузчиков для введения в заблуждение специалистов по кибербезопасности.
Многоуровневая структура исполнения включает восемь этапов, на каждом из которых выполняются декодирование, проверка на наличие анализа и постепенное раскрытие основного функционала. Злоумышленники применяют такие методы, как обфускация потоков управления и шифрование данных, что существенно усложняет анализ.
Для обеспечения устойчивости Raspberry Robin вносит изменения в реестр Windows и использует методы обхода контроля учётных записей пользователей (UAC). Он также может распространяться по локальной сети, используя инструменты вроде PsExec и PAExec, что делает его угрозой для корпоративных систем.
Интересной деталью является способность к автоматической защите от обнаружения. Например, Raspberry Robin замещает адреса возврата в стеке и использует сложные алгоритмы для обнаружения виртуализированных сред и отладки.
Сетевая коммуникация осуществляется через TOR, где вредонос отправляет зашифрованные данные, включая IP-адрес, параметры системы и активные процессы. Ответ от сервера может содержать дополнительный вредоносный код, который загружается и выполняется.
Raspberry Robin демонстрирует высокий уровень профессионализма своих разработчиков. Это делает его одной из самых сложных угроз, активно используемых злоумышленниками для атак на корпоративные сети.
Отличительной особенностью Raspberry Robin является применение TOR для связи с C2-серверами. Он также задействует низкоуровневые функции Windows для обхода систем безопасности. Его функционал распространяется от выявления исследовательской среды до развёртывания ложных загрузчиков для введения в заблуждение специалистов по кибербезопасности.
Многоуровневая структура исполнения включает восемь этапов, на каждом из которых выполняются декодирование, проверка на наличие анализа и постепенное раскрытие основного функционала. Злоумышленники применяют такие методы, как обфускация потоков управления и шифрование данных, что существенно усложняет анализ.
Для обеспечения устойчивости Raspberry Robin вносит изменения в реестр Windows и использует методы обхода контроля учётных записей пользователей (UAC). Он также может распространяться по локальной сети, используя инструменты вроде PsExec и PAExec, что делает его угрозой для корпоративных систем.
Интересной деталью является способность к автоматической защите от обнаружения. Например, Raspberry Robin замещает адреса возврата в стеке и использует сложные алгоритмы для обнаружения виртуализированных сред и отладки.
Сетевая коммуникация осуществляется через TOR, где вредонос отправляет зашифрованные данные, включая IP-адрес, параметры системы и активные процессы. Ответ от сервера может содержать дополнительный вредоносный код, который загружается и выполняется.
Raspberry Robin демонстрирует высокий уровень профессионализма своих разработчиков. Это делает его одной из самых сложных угроз, активно используемых злоумышленниками для атак на корпоративные сети.