新型Raspberry Robin恶意软件攻击政府与电信系统

关键要点

最新Raspberry Robin恶意软件针对政府机构和电信服务提供商进行攻击，采用伪装负载来规避检测。新的攻击手法使原本高度混淆的恶意软件在沙盒环境中释放假负载，而在其他环境中则释放真实负载。假负载具有两个额外的层，包括一个带有shellcode的PE文件和一个没有MZ头和PE签名的PE文件，用于试图下载和执行BrowserAssistant广告软件。实际恶意负载则具备10层混淆，以进一步阻碍分析工作。Raspberry Robin和LockBit在战术、技术与程序TTPs上存在相似性，都利用了特定的方法进行权限提升和反调试。

最新的Raspberry Robin恶意软件攻击针对政府系统和电信服务提供商，使用伪装的负载来规避检测并混淆研究人员的分析，正如BleepingComputer所述。虽然Raspberry Robin恶意软件本身已经经过高度混淆以防止被发现，但据Trend Micro的报告显示，该恶意软件现在已开始在沙盒环境中运行时部署假负载，而在其他环境中则部署真实的恶意负载。

研究人员发现伪装负载包含两个额外的层：一个带有shellcode的PE文件，以及一个没有MZ头和PE签名的PE文件，这些都旨在下载并执行“BrowserAssistant”广告软件，以迷惑研究人员。与此同时，实际的恶意负载则包含10层混淆，进一步阻碍了分析工作的进行。

快橙机场

表格总结了Raspberry Robin和LockBit的相似之处：

特性Raspberry RobinLockBit攻击目标政府与电信服务提供商各种行业的公司混淆技术10层混淆多种混淆策略权限提升ICM校准方法其它权限提升方法反调试工具TreadHideFromDebugger反调试工具的多样化

Raspberry Robin与LockBit似乎在战术、技术和程序方面有很多共通之处，其中Raspberry Robin也与该威胁团体使用的ICM校准方法和“TreadHideFromDebugger”工具进行了关联，以便进行权限提升和反调试。因此，不仅在攻击目标上存在交集，这两种恶意软件的技术手段也为研究人员的分析带来了新的挑战。