Malinový Robin

Malware se schopnostmi podobnými červům se používá v útočných kampaních ovlivňujících systémy Windows. Hrozba a související shluk aktivit byly výzkumníky v oblasti kybernetické bezpečnosti sledovány jako Malinový Robin a „červ QNAP“. Podle jejich zpráv byla operace Raspberry Robin zaznamenána již v září 2021, ale většina aktivit se odehrála v lednu 2022 a později. Oběti hrozby byly identifikovány jako společnosti působící v technologickém a výrobním sektoru, ale potenciálně by mohlo být také jiní. Nutno podotknout, že cíle aktérů ohrožení zatím nebyly potvrzeny.

Využívání legitimních nástrojů Windows

Infekční řetězec Raspberry Robin začíná infikovanými vyměnitelnými jednotkami, jako jsou zařízení USB. Tyto jednotky obsahují červa Raspberry Robin ve formě zástupce .lnk souboru, maskovaného jako legitimní složka. Hrozba se aktivuje po připojení poškozené jednotky k počítači. Ke čtení a následnému spuštění souboru nalezeného na infikovaném externím disku využívá cmd.exe. Výzkumníci zjistili, že tento příkaz je konzistentní mezi různými detekcemi malinového Robina a může být použit jako indikátor ohrožujících činností prováděných červem.

V rámci svých akcí malware široce využívá legitimní nástroje systému Windows. Využívá msiexec.exe (Microsoft Standard Installer) k načtení a spuštění kompromitovaného souboru DLL spolu s dalšími legitimními instalačními balíčky. Předpokládá se, že soubor DLL má funkce související s perzistencí a je převzat z poškozené domény Command-and-Control (C2, C&C), která je pravděpodobně hostována na kompromitovaných zařízeních QNAP. Odchozí aktivita C2 připisovaná Raspberry Robin byla také pozorována pomocí procesů Windows regsvr32.exe, rundll32.exe a dllhost.exe. Pokusy o připojení k externí síti byly zaměřeny na adresy IP na uzlech TOR.

Raspberry Robin také nutí msiexec.exe spustit další skutečný nástroj Windows - fodhelper.exe. Hrozba se spoléhá na to, že spustí rundll32.exe a spustí hrozivý příkaz. Aktér ohrožení zvolil fodhelper.exe kvůli jeho schopnosti spouštět procesy se zvýšenými oprávněními správce, aniž by spouštěl výzvu Řízení uživatelských účtů (UAC).