روبن التوت

يتم استخدام برنامج ضار بقدرات تشبه الدودة في حملات الهجوم التي تؤثر على أنظمة Windows. تم تتبع التهديد ومجموعة الأنشطة المرتبطة به مثل Raspberry Robin و 'worm QNAP' بواسطة باحثين في مجال الأمن السيبراني. وفقًا لتقاريرهم ، تمت ملاحظة عملية Raspberry Robin مرة أخرى في سبتمبر 2021 ، ولكن معظم النشاط حدث في وبعد يناير 2022. تم التعرف على ضحايا التهديد كشركات تعمل في قطاعي التكنولوجيا والتصنيع ، ولكن من المحتمل أن يكون هناك كن آخرين كذلك. وتجدر الإشارة إلى أنه ، حتى الآن ، لم يتم تأكيد أهداف الجهات المهددة.

استغلال أدوات Windows المشروعة

تبدأ سلسلة الإصابة في Raspberry Robin بمحركات الأقراص القابلة للإزالة المصابة مثل أجهزة USB. تحتوي محركات الأقراص هذه على الفيروس المتنقل Raspberry Robin في شكل ملف .lnk اختصار ، متخفي كمجلد شرعي. ينشط التهديد بعد توصيل محرك الأقراص التالف بالكمبيوتر. يستفيد من cmd.exe لقراءة ملف موجود على محرك الأقراص الخارجي المصاب ثم تنفيذه. وجد الباحثون أن هذا الأمر متسق بين اكتشافات Raspberry Robin المختلفة ، ويمكن استخدامه كمؤشر على الأنشطة التهديدية التي تقوم بها الدودة.

كجزء من إجراءاتها ، تستفيد البرامج الضارة بشكل كبير من أدوات Windows المساعدة المشروعة. يستغل msiexec.exe (Microsoft Standard Installer) لجلب وتنفيذ ملف DLL المخترق ، إلى جانب حزم التثبيت الشرعية الأخرى. يُعتقد أن ملف DLL يحتوي على وظائف مرتبطة بالثبات وهو مأخوذ من مجال الأوامر والتحكم (C2، C&C) التالف ، والذي من المحتمل استضافته على أجهزة QNAP المعرضة للخطر. تمت ملاحظة نشاط C2 الصادر المنسوب إلى Raspberry Robin أيضًا باستخدام عمليات Windows regsvr32.exe و rundll32.exe و dllhost.exe. كانت محاولات الاتصال بالشبكة الخارجية تستهدف عناوين IP على عقد TOR.

يفرض Raspberry Robin أيضًا على msiexec.exe لتشغيل أداة نافذة أخرى حقيقية - fodhelper.exe. يعتمد التهديد عليه في إنتاج rundll32.exe وبدء أمر تهديد. اختار ممثل التهديد fodhelper.exe نظرًا لقدرته على بدء العمليات بامتيازات مسؤول مرتفعة ، دون تشغيل موجه التحكم في حساب المستخدم (UAC).