เมนู

Microsoft ตรวจพบ Raspberry Robin Windows Worm

Rapsberry 2 full

ตรวจพบการแพร่ระบาดบน Windows PCs ในเครือข่ายขององค์กรหลายร้อยแห่ง

7 กรกฎาคม 2565

📢 เมื่อไม่นานมานี้ทาง Microsoft ตรวจพบเวิร์ม Windows ในเครือข่ายขององค์กรต่างๆ หลายร้อยแห่งจากภาคอุตสาหกรรมต่างๆ ที่แพร่กระจายผ่านการใช้งาน USB ที่ติดไวรัสและได้ถูกตรวจพบครั้งแรกในเดือนกันยายน 2564 โดยกลุ่ม Red Canary
 
🧑‍✈️ บริษัทรักษาความปลอดภัย Sekoia ตรวจพบว่าเป็นการทำงานบนอุปกรณ์ QNAP NAS ที่ใช้สำหรับออกคำสั่งรวมถึงควบคุมการทำงาน ในช่วงต้นเดือนพฤศจิกายนที่ผ่านมา ทาง Microsoft ตรวจพบว่าเป็นอันตรายต่อการใช้งาน และมีความเชื่อมโยงกับเวิร์มนี้ที่ได้ถูกสร้างขึ้นเมื่อปี 2562
 
⏱ ในการค้นพบของ Redmond นั้นมีความสอดคล้องกับทีม Red Canary ซึ่งได้มีการตรวจพบเวิร์มนี้บนเครือข่ายของลูกค้าหลายรายเช่นเดียวกันบางส่วนอยู่ในภาคเทคโนโลยี และภาคการผลิต
 
🕵️‍♀️ Microsoft ยังพบมัลแวร์ที่มีการเชื่อมต่อกับเครือข่าย Tor Network แต่ผู้โจมตีก็ยังไม่สามารถใช้ประโยชน์จากเข้าเครือข่ายของผู้ใช้งานได้ แม้ว่าผู้โจมตีจะสามารถทำการโจมตีได้อย่างง่ายดาย เนื่องจากมัลแวร์ชนิดนี้สามารถหลีกเลี่ยงการถูกควบคุมจากบัญชีผู้ใช้ (UAC) บนระบบที่ติดไวรัส โดยใช้เครื่องมือบน Windows ที่ถูกต้องตามกฎหมาย ทาง Microsoft ได้ออกมาแชร์ข้อมูลรวมถึงการให้คำแนะนำเรื่องของข่าวสารต่างๆ และภัยคุกคามกับทาง Microsoft Defender สำหรับสมาชิกที่ใช้งาน Endpoint subscribers และสามารถดูได้ผ่านทาง BleepingComputer
 
💥 ไม่นานมานี้ได้มีข่าวออกมาเกี่ยวกับ Raspberry Robin ที่มีการแพร่กระจายมัลแวร์ไปยังระบบ Windows ใหม่ผ่าน USB ไดรฟ์ ที่ติดไวรัส และมีไฟล์นามสกุล .LNK ฝังอยู่ เมื่อผู้ใช้งานทำการเชื่อมต่ออุปกรณ์ USB ผ่านอุปกรณ์และทำการคลิกลิงก์เพื่อใช้งาน เพื่อทำการสร้าง msiexec โดยใช้ cmd.exe เพื่อเป็นการเรียกใช้ไฟล์ที่ติดไวรัสที่ถูกจัดเก็บไว้ใน USB ไดรฟ์
Raspberry Robin ใช้ msiexec.exe เพื่อทำการดาวน์โหลด และติดตั้งการใช้งาน โดยใช้ประโยชน์จากช่วงเวลานี้ทำการสื่อสารไปยังโดเมนภายนอกที่เป็นอันตรายตามวัตถุประสงค์ที่ตั้งไว้
 
👨‍⚖️ นักวิจัยที่พบมัลแวร์ Raspberry Robin ยังไม่ระบุแน่ชัดว่าเป็นภัยคุกคาม แต่ยังทำการค้นหาต่อไป ทาง Microsoft ได้ออกมาติดตามประเด็นนี้ว่ามีความเสี่ยงสูง เนื่องจากผู้โจมตีสามารถดาวน์โหลด และปรับใช้งานในส่วนของมัลแวร์ได้ภายในเครือข่ายของผู้ใช้งาน รวมถึงเพิ่มสิทธิพิเศษได้ตลอดเวลา
 
อ้างอิง1: bleepingcomputer