Малинов Робин

Зловреден софтуер с подобни на червеи възможности се използва в кампании за атаки, засягащи Windows системи. Заплахата и свързаният с нея клъстер от активност са проследени като Raspberry Robin и „червей QNAP“ от изследователи по киберсигурност. Според техните доклади, операцията Raspberry Robin е била забелязана още през септември 2021 г., но по-голямата част от дейността е извършена през и след януари 2022 г. Жертвите на заплахата са идентифицирани като компании, работещи в технологичния и производствения сектор, но потенциално може бъдете и други. Трябва да се отбележи, че до момента целите на заплахите не са потвърдени.

Използване на легитимни инструменти на Windows

Веригата за заразяване на Raspberry Robin започва със заразени сменяеми устройства, като например USB устройства. Тези устройства съдържат червея Raspberry Robin под формата на пряк .lnk файл, маскиран като легитимна папка. Заплахата се активира, след като повреденото устройство бъде свързано към компютъра. Той се възползва от cmd.exe, за да чете и след това да изпълни файл, намерен на заразеното външно устройство. Изследователите са открили, че тази команда е съвместима между различните откривания на Raspberry Robin и може да се използва като индикатор за заплашителни дейности, извършвани от червея.

Като част от своите действия, злонамереният софтуер се възползва значително от легитимните помощни програми на Windows. Той използва msiexec.exe (Microsoft Standard Installer), за да извлече и изпълни компрометиран DLL файл, заедно с други легитимни инсталационни пакети. Смята се, че DLL файлът има свързана с постоянството функционалност и е взет от повреден домейн за командване и управление (C2, C&C), вероятно хостван на компрометирани QNAP устройства. Изходящата C2 активност, приписвана на Raspberry Robin, също е наблюдавана с помощта на процесите на Windows regsvr32.exe, rundll32.exe и dllhost.exe. Опитите за външна мрежова връзка бяха насочени към IP адреси на TOR възли.

Raspberry Robin също така принуждава msiexec.exe да стартира друга истинска помощна програма за Windows - fodhelper.exe. Заплахата разчита на него, за да създаде rundll32.exe и да инициира заплашителна команда. Заплахата избра fodhelper.exe поради способността му да стартира процеси с повишени администраторски привилегии, без да задейства подкана за контрол на потребителските акаунти (UAC).