Malina Robin

Zlonamjerni softver sa mogućnostima sličnim crvu koristi se u kampanjama napada koje utječu na Windows sustave. Istraživači kibernetičke sigurnosti pratili su prijetnju i povezanu grupu aktivnosti kao Raspberry Robin i 'QNAP crv'. Prema njihovim izvješćima, operacija Raspberry Robin primijećena je još u rujnu 2021., no većina aktivnosti odvijala se u i nakon siječnja 2022. godine. Žrtve prijetnje identificirane su kao tvrtke koje posluju u tehnološkom i proizvodnom sektoru, ali bi potencijalno moglo budite i drugi. Valja napomenuti da do sada nisu potvrđeni ciljevi aktera prijetnji.

Iskorištavanje legitimnih Windows alata

Lanac infekcije Raspberry Robina počinje sa zaraženim prijenosnim diskovima kao što su USB uređaji. Ovi pogoni sadrže crva Raspberry Robin u obliku .lnk datoteke prečaca, prerušene u legitimnu mapu. Prijetnja se aktivira nakon što se oštećeni pogon poveže s računalom. Koristi cmd.exe za čitanje i zatim izvršavanje datoteke pronađene na zaraženom vanjskom disku. Istraživači su otkrili da je ova naredba dosljedna između različitih detekcija Raspberry Robin i može se koristiti kao pokazatelj prijetećih aktivnosti koje provodi crv.

Kao dio svojih radnji, zlonamjerni softver u velikoj mjeri koristi legitimne Windows uslužne programe. Iskorištava msiexec.exe (Microsoft Standard Installer) za dohvaćanje i izvršavanje kompromitirane DLL datoteke, zajedno s drugim legitimnim instalacijskim paketima. Vjeruje se da DLL datoteka ima funkcionalnost povezanu s postojanošću i preuzeta je s oštećene Command-and-Control (C2, C&C) domene, vjerojatno smještene na ugroženim QNAP uređajima. Izlazna C2 aktivnost pripisana Raspberry Robin također je opažena korištenjem Windows procesa regsvr32.exe, rundll32.exe i dllhost.exe. Pokušaji povezivanja s vanjskom mrežom bili su usmjereni na IP adrese na TOR čvorovima.

Raspberry Robin također prisiljava msiexec.exe da pokrene još jedan pravi uslužni program za Windows - fodhelper.exe. Prijetnja se oslanja na to kako bi pokrenula rundll32.exe i pokrenula prijeteću naredbu. Akter prijetnje odabrao je fodhelper.exe zbog njegove sposobnosti pokretanja procesa s povišenim administratorskim povlasticama, bez pokretanja prompta za kontrolu korisničkog računa (UAC).