Raspberry Robin蠕虫利用QNAP设备进行攻击

重点总结

• Raspberry Robin蠕虫利用受漏洞的QNAP网络附加存储设备进行扩散。
• 攻击者通过文件档案、ISO文件和USB驱动器传播恶意软件。
• 恶意软件通过Windows系统进程进行注入，并通过注册表保持持久性。
• 大约75%的受害者下载了带有“OmniContact”签名的恶意模块。

近日，针对
的攻击，引起了网络安全专家的关注。根据
的报告，Raspberry Robin Windows蠕虫正在利用这些易受攻击的设备，进一步传播到其他系统。

该恶意软件的传播方式包括通过文件归档、ISO文件和USB驱动器等手段。Cybereason的报告指出，其感染过程始于一个BAT文件和包含Windowsshell命令的LNK快捷方式，从而实现从受攻击的QNAPNAS设备中检索恶意DLL。之后，恶意软件会注入Windows系统进程dllhost.exe、regsvr32.exe和rundll32.exe，同时通过一个注册表键保持持久性，该键使得rundll32.exe进程能够从外部资源注入同一DLL。

研究人员表示：“由于恶意模块与初始感染过程中的模块相同，因此其展示出相同的恶意活动，包括进程注入和与Tor出口节点的通信。”

同时报告还显示，几乎75%的RaspberryRobin受害者下载了带有“OmniContact”签名的恶意模块，这一数据进一步表明了该恶意软件的广泛传播和影响力。

攻击方式 | 描述
—|—
文件归档和ISO文件 | 被用作恶意软件的载体进行传播
USB驱动器 | 存储恶意程序以感染其他系统
DLL注入 | 恶意软件通过Windows进程进行注入
持久性控制 | 通过注册表键保持在目标系统中的存在

这种情况再次提醒用户加强对网络安全的防范，确保设备和存储系统的安全性。