محققان سایبری در خصوص موج مداوم حملات گروهی به نام Raspberry Robin که یک بدافزار ویندوز با قابلیتهای کرم را منتشر میکنند، هشدار میدهند. در این حملات یک کرم از طریق دستگاههای USB با قابلیت جابجایی که حاوی یک فایل مخرب . LNK است منتشر میشود و از دستگاههای ذخیرهسازی متصل به شبکه QNAP که آسیبدیده هستند جهت انجام فرآیندهای مربوط به کنترل و فرمان در دستگاه استفاده میکند.
این بدافزار که به نام کرم QNAP هم شناخته میشود، از یک باینری مجاز نصبکننده ویندوز به نام "msiexec.exe" جهت دانلود و اجرای یک کتابخانه مشترک (DLL) مخرب از یک دستگاه QNAP NAS آسیبدیده استفاده میکند.
پایداری این کرم در دستگاه آسیبپذیر، با تغییرات Windows Registry جهت بارگیری پیلود مخرب بدست میآید که این امر از طریق باینری ویندوز "rundll32.exe" در فاز راهاندازی صورت میپذیرد.
QNAP اعلام کرد که به طور ویژه در حال بررسی موج جدیدی از آلودگیهای باجافزار Checkmate است که دستگاههایش را مورد هدف قرار میدهد، به طوری که پس از باجافزارهای AgeLocker، eCh0raix و DeadBolt، آن را به جدیدترین نوع از باجافزارها تبدیل کرده است. تحقیقات اولیه نشان میدهد که باجافزار Checkmate از طریق سرویسهای SMB که در معرض اینترنت قرار دارند، حمله خود را شروع کرده و از dictionary attack جهت پیداکردن رمزعبور سیستم استفاده میکنند. هنگامی که مهاجم با موفقیت به دستگاهی وارد میشود، دادهها را در پوشههای مشترک رمزگذاری کرده و یادداشتی که نام فایل آن "!CHECKMATE_DECRYPTION_README" میباشد را در هر پوشه قرار میدهد.
شرکت تایوانی QNAP به مشتریان توصیه میکند که خدمات SMB را در معرض اینترنت قرار ندهند، از رمزهای عبور قوی استفاده کنند، به طور منظم نسخه پشتیبان تهیه کنند و سیستم عامل QNAP را به آخرین نسخهی منتشر شده، بهروزرسانی کنند.
منبع:
https://thehackernews.com/2022/07/researchers-warn-of-raspberry-robins.html
- 72