树莓罗宾蠕虫再次攻击，目标是电信和政府系统

至少自2022年9月以来，这个树莓罗宾蠕虫病毒一直被用于攻击拉丁美洲、澳大利亚和欧洲的电信和政府办公系统。

Trend Micro研究人员克里斯托弗·索（Christopher So）在周二发表的一份技术分析报告中表示：“主要有效载荷本身包含了10多个用于混淆的层，一旦检测到沙盒和安全分析工具，就能够发送假有效载荷”。

大多数感染者是在阿根廷发现的，其次是澳大利亚、墨西哥、克罗地亚、意大利、巴西、法国、印度和哥伦比亚。

树莓罗宾（Raspberry Robin），被微软追踪为DEV-0856的活动集群，正越来越多地被多个威胁行为体利用，作为提供LockBit和Clop勒索软件等有效载荷的初始访问机制。

该恶意软件以依赖受感染的USB驱动器作为分发媒介下载恶意MSI安装程序文件而闻名，该文件部署了主要的有效负载，以促进后攻击。

对树莓罗宾的进一步分析揭示了使用严重的混淆来防止分析，该恶意软件“由嵌入在负载加载程序中的两个负载组成，负载加载程序打包了六次”

有效载荷装载器，就其本身而言，被精心安排来装载诱饵有效载荷，一种被称为BrowserAssistant的广告软件，以放弃检测工作。

如果没有观察到沙盒和分析，则安装合法的有效负载，并使用嵌入其中的自定义TOR客户端连接到硬编码的洋葱地址，以等待进一步的命令。

TOR客户端进程伪装成合法的Windows进程，如dllhost.exe、regsvr32.exe和rundll32.exe，再次强调了威胁行为者为躲避雷达所做的巨大努力。

此外，恶意软件的真正例程是在会话0中运行的，这是一个专门为服务和其他非交互式用户应用程序保留的Windows会话，以减轻诸如粉碎攻击等安全风险。

Trend Micro表示，他们发现了Raspberry Robin和LockBit勒索软件使用的特权升级和反调试技术的相似之处，暗示了这两个犯罪行为人之间的潜在联系。

“复盆子罗宾背后的团队是LockBit也在使用的一些工具的制造商，”该公司理论称，并补充道，“利用了负责LockBit使用的技术的附属公司的服务”。

话虽如此，入侵似乎是一次侦察行动，因为TOR域没有返回任何数据，这表明恶意软件背后的组织正在“测试水域，看看其部署能扩散多远”