新型Raspberry Robin恶意软件攻击政府与电信系统

关键要点

• 最新Raspberry Robin恶意软件针对政府机构和电信服务提供商进行攻击，采用伪装负载来规避检测。
• 新的攻击手法使原本高度混淆的恶意软件在沙盒环境中释放假负载，而在其他环境中则释放真实负载。
• 假负载具有两个额外的层，包括一个带有shellcode的PE文件和一个没有MZ头和PE签名的PE文件，用于试图下载和执行"BrowserAssistant"广告软件。
• 实际恶意负载则具备10层混淆，以进一步阻碍分析工作。
• Raspberry Robin和LockBit在战术、技术与程序（TTPs）上存在相似性，都利用了特定的方法进行权限提升和反调试。

最新的攻击针对政府系统和电信服务提供商，使用伪装的负载来规避检测并混淆研究人员的分析，正如所述。虽然RaspberryRobin恶意软件本身已经经过高度混淆以防止被发现，但据TrendMicro的报告显示，该恶意软件现在已开始在沙盒环境中运行时部署假负载，而在其他环境中则部署真实的恶意负载。

研究人员发现伪装负载包含两个额外的层：一个带有shellcode的PE文件，以及一个没有MZ头和PE签名的PE文件，这些都旨在下载并执行“BrowserAssistant”广告软件，以迷惑研究人员。与此同时，实际的恶意负载则包含10层混淆，进一步阻碍了分析工作的进行。

表格总结了Raspberry Robin和LockBit的相似之处：

Raspberry Robin与LockBit似乎在战术、技术和程序方面有很多共通之处，其中RaspberryRobin也与该威胁团体使用的ICM校准方法和“TreadHideFromDebugger”工具进行了关联，以便进行权限提升和反调试。因此，不仅在攻击目标上存在交集，这两种恶意软件的技术手段也为研究人员的分析带来了新的挑战。