Raspberry Robin：新一波攻击的潜在威胁

关键要点

• Raspberry Robin（又称QNAP蠕虫）可能被多个威胁行为者重新利用。
• 该恶意软件与DEV-0856相关，其基础设施包括至少八个Linode虚拟私有服务器。
• 攻击链始于插入USB驱动器后运行的Windows快捷文件，通过msiexec下载主要的Raspberry Robin Payload。
• SEKOIA研究人员指出，恶意软件的检索过程可以被其他恶意的MSI Payload下载劫持。

据《黑客新闻》报导，许多威胁行为者可能会重新利用进行攻击。RaspberryRobin被归因于DEV-0856，SEKOIA研究人员发现它至少有八个基于Linode的虚拟私有伺服器，这些伺服器作为一个第二控制层，与被入侵的QNAP网络存储设备协同工作。这类攻击基础设施使得攻击链的启动变得容易，攻击从插入的USB驱动器启动Windows快捷文件开始，这会启用msiexec工具，随后下载主要的经过混淆的RaspberryRobin有效载荷。

研究人员指出，通过msiexec发送的HTTP请求进行的恶意软体检索，允许其他恶意MSI有效载荷的下载劫持。SEKOIA表示：“通过将这个域指向我们的隐蔽，使我们能够从RaspberryRobin操作者首次使用的域中获得数据。”他们还补充道，Raspberry Robin的域仍然可以被重用于其他恶意活动。

附加资讯： - 有关Raspberry Robin的详细报导，可以参考 。 - 了解如何保护自己的设备免受此类攻击。

总之，Raspberry Robin的出现显示了网络安全的威胁不断演变，各行各业的数据安全都需保持警觉，以应对潜在的恶意攻击。