Hindbær Robin

En malware med orm-lignende egenskaber bliver brugt i angrebskampagner, der påvirker Windows-systemer. Truslen og dens tilknyttede aktivitetsklynge er blevet sporet som Raspberry Robin og 'QNAP-ormen' af cybersikkerhedsforskere. Ifølge deres rapporter blev Raspberry Robin-operationen bemærket tilbage i september 2021, men det meste af aktiviteten fandt sted i og efter januar 2022. Ofre for truslen er blevet identificeret som virksomheder, der opererer i teknologi- og fremstillingssektoren, men der kan potentielt være andre også. Det skal bemærkes, at trusselsaktørernes mål indtil videre ikke er blevet bekræftet.

Udnyttelse af legitime Windows-værktøjer

Infektionskæden af Raspberry Robin begynder med inficerede flytbare drev såsom USB-enheder. Disse drev indeholder Raspberry Robin-ormen i form af en genvej .lnk-fil, forklædt som en legitim mappe. Truslen aktiveres, når det beskadigede drev er forbundet til computeren. Det udnytter cmd.exe til at læse og derefter udføre en fil fundet på det inficerede eksterne drev. Forskerne har fundet ud af, at denne kommando er konsistent mellem forskellige Raspberry Robin-detektioner og kan bruges som en indikator for de truende aktiviteter, som ormen udfører.

Som en del af sine handlinger, udnytter malwaren omfattende fordele af legitime Windows-værktøjer. Det udnytter msiexec.exe (Microsoft Standard Installer) til at hente og udføre en kompromitteret DLL-fil sammen med andre legitime installationspakker. DLL-filen menes at have persistensrelateret funktionalitet og er taget fra et korrupt Command-and-Control-domæne (C2, C&C), sandsynligvis hostet på kompromitterede QNAP-enheder. Den udgående C2-aktivitet, der tilskrives Raspberry Robin, er også blevet observeret ved hjælp af Windows-processerne regsvr32.exe, rundll32.exe og dllhost.exe. De eksterne netværksforbindelsesforsøg var rettet mod IP-adresser på TOR-knudepunkter.

Raspberry Robin tvinger også msiexec.exe til at starte et andet rigtigt vinduesværktøj - fodhelper.exe. Truslen er afhængig af den for at skabe rundll32.exe og starte en truende kommando. Trusselsaktøren valgte fodhelper.exe på grund af dens evne til at starte processer med forhøjede administratorrettigheder uden at udløse en brugerkontokontrol (UAC) prompt.