Специалисты Microsoft сообщают, что недавно обнаруженный Windows-червь Raspberry Robin найден в сетях сотен организаций из различных отраслей промышленности. Хотя Microsoft наблюдала, как малварь связывается с адресами в сети Tor, цели злоумышленники все еще остаются неизвестными, так как они пока не воспользовались доступом к сетям своих жертв.
Напомню, что первыми вредонос Raspberry Robin заметили аналитики из Red Canary. Весной текущего года стало известно, что малварь обладает возможностями червя, распространяется с помощью USB-накопителей и активна как минимум с сентября 2021 года.
ИБ-компания Sekoia и вовсе наблюдала за тем, как вредонос использовал устройства Qnap NAS в качестве управляющих серверов еще в ноябре прошлого года. А теперь Microsoft заявила, что обнаружила связанные с этим червем артефакты, датированные 2019 годом.
В целом выводы Microsoft схожи с выводами экспертов Red Canary, которые тоже обнаружили червя в сетях нескольких клиентов, некоторые из которых работали в технологическом и производственном секторах.
Интересно, что ранее исследователи признавали, что им не удалось выяснить, как именно и где Raspberry Robin заражает внешние устройства. Дело в том, что вредонос распространяется во время подключения к машине зараженного USB-накопителя, содержащего вредоносный файл .LNK. После червь запускает в системе новый процесс, используя cmd.exe для запуска вредоносного файла, хранящегося на зараженном девайсе.
Предполагается, что заражение вообще происходит в оффлайне. Также весной остался без ответа и другой важный вопрос: какова конечная цель операторов Raspberry Robin?
К сожалению, у Microsoft тоже нет ответов. Хотя малварь связывается с адресами в сети Tor, злоумышленники до сих пор не воспользовались полученным доступом к сетям своих жертв. Хотя хакеры могли бы легко развить свои атаки, учитывая, что Raspberry Robin способен обходить User Account Control (UAC) в зараженных системах с помощью легитимных инструментов Windows.
Несмотря на то, что пока хакеры бездействуют, Microsoft отметила эту кампанию как высокорискованную, учитывая, что злоумышленники могут в любой момент загрузить и развернуть дополнительную малварь в сетях жертв и повысить свои привилегии.