Windowsスクリプトから配布されるワーム「Raspberry Robin」、HPが注意喚起

画像提供：マイナビニュース

HPは4月10日(米国時間)、「Raspberry Robin Now Spreading Through Windows Script Files｜HP Wolf Security」において、Windowsを標的とするワーム「Raspberry Robin」がWindowsスクリプトファイル(WSF)を通じて配布されていることを発見したとして、注意を呼び掛けた。このワームに感染すると、ランサムウェアなど別なマルウェアに感染する可能性がある。

○Raspberry Robinの感染経路

Raspberry Robinは2021年後半に発見されたWindows向けのワームとされる。発見当初はUSBメモリなどのリムーバブルメディアを介して感染し、侵害したQNAPのNASからペイロードをダウンロード、実行する手法がとられていた。その後、ソーシャルエンジニアリング攻撃やマルバタイジング攻撃を介してアーカイブファイルやインストーラを配布する手法がとられていたが、今回はじめてWindowsスクリプトファイルを配布する手法が確認された。

HPの研究者によると、Windowsスクリプトファイルは悪意のあるドメインやサブドメイン経由で配布されているという。攻撃者がこれらURLに被害者をどのようにして誘導しているのかはわかっていない。
○悪意のあるWindowsスクリプトファイル

発見された悪意のあるWindowsスクリプトファイルは高度に難読化されており、さまざまな分析妨害技術や仮想マシン検出技術が使用されているという。これらすべての検査にパスした場合にのみ最終ペイロードがダウンロードされ、実行される。

スクリプト本体のコードはファイルの中央に記述されており、その前後には意味のないデータが配置されている。これらデータはWindows Script Hostコンポーネントからは無視されるため、単純に分析を妨害するために配置されたものとみられている。

スクリプト本体は高度に難読化されており、その動作を理解するのは容易ではないとされる。しかしながら、HPの研究者はコードを分析し、その動作を詳細に解説している。

分析によると、スクリプトは最初にいくつかの確認を実行し、条件に一致する場合は分析されている、または最終ペイロードの実行に障害があると評価してスクリプトを終了するという。また、動的分析を妨害するためにスクリプトを再実行してからスクリプトファイルを削除し、処理を継続する機能を持つとされる。これらすべての検査をパスするとMicrosoft Defenderに例外を追加し、マルウェアの検出を阻止してからRaspberry Robinをダウンロードして実行する。
○影響と対策