Raspberry Robin

Ένα κακόβουλο λογισμικό με δυνατότητες τύπου worm χρησιμοποιείται σε εκστρατείες επίθεσης που επηρεάζουν τα συστήματα των Windows. Η απειλή και το σχετικό σύμπλεγμα δραστηριότητάς της έχουν παρακολουθηθεί ως Raspberry Robin και «σκουλήκι QNAP» από ερευνητές στον τομέα της ασφάλειας στον κυβερνοχώρο. Σύμφωνα με τις αναφορές τους, η επιχείρηση Raspberry Robin έγινε αντιληπτή τον Σεπτέμβριο του 2021, αλλά το μεγαλύτερο μέρος της δραστηριότητας έλαβε χώρα τον Ιανουάριο και μετά τον Ιανουάριο του 2022. Θύματα της απειλής έχουν εντοπιστεί ως εταιρείες που δραστηριοποιούνται στον τομέα της τεχνολογίας και της κατασκευής, αλλά ενδέχεται να υπάρχουν να είστε και άλλοι. Να σημειωθεί ότι, μέχρι στιγμής, δεν έχουν επιβεβαιωθεί οι στόχοι των παραγόντων της απειλής.

Εκμετάλλευση νόμιμων εργαλείων των Windows

Η αλυσίδα μόλυνσης του Raspberry Robin ξεκινά με μολυσμένες αφαιρούμενες μονάδες, όπως συσκευές USB. Αυτές οι μονάδες δίσκου περιέχουν τον ιό τύπου worm Raspberry Robin με τη μορφή αρχείου συντόμευσης .lnk, μεταμφιεσμένο ως νόμιμο φάκελο. Η απειλή ενεργοποιείται αφού συνδεθεί η κατεστραμμένη μονάδα στον υπολογιστή. Εκμεταλλεύεται το cmd.exe για να διαβάσει και στη συνέχεια να εκτελέσει ένα αρχείο που βρίσκεται στη μολυσμένη εξωτερική μονάδα δίσκου. Οι ερευνητές ανακάλυψαν ότι αυτή η εντολή είναι συνεπής μεταξύ διαφορετικών ανιχνεύσεων Raspberry Robin και μπορεί να χρησιμοποιηθεί ως δείκτης των απειλητικών δραστηριοτήτων που εκτελούνται από το σκουλήκι.

Ως μέρος των ενεργειών του, το κακόβουλο λογισμικό εκμεταλλεύεται εκτενώς τα νόμιμα βοηθητικά προγράμματα των Windows. Εκμεταλλεύεται το msiexec.exe (Microsoft Standard Installer) για να ανακτήσει και να εκτελέσει ένα παραβιασμένο αρχείο DLL, μαζί με άλλα νόμιμα πακέτα προγράμματος εγκατάστασης. Το αρχείο DLL πιστεύεται ότι έχει λειτουργικότητα που σχετίζεται με την επιμονή και έχει ληφθεί από έναν κατεστραμμένο τομέα Command-and-Control (C2, C&C), που πιθανόν να φιλοξενείται σε παραβιασμένες συσκευές QNAP. Η εξερχόμενη δραστηριότητα C2 που αποδίδεται στο Raspberry Robin έχει επίσης παρατηρηθεί χρησιμοποιώντας τις διεργασίες των Windows regsvr32.exe, rundll32.exe και dllhost.exe. Οι προσπάθειες σύνδεσης εξωτερικού δικτύου στόχευαν σε διευθύνσεις IP σε κόμβους TOR.

Το Raspberry Robin αναγκάζει επίσης το msiexec.exe να ξεκινήσει ένα άλλο πραγματικό βοηθητικό πρόγραμμα Windows - το fodhelper.exe. Η απειλή βασίζεται σε αυτήν για την αναπαραγωγή του rundll32.exe και την εκκίνηση μιας απειλητικής εντολής. Ο παράγοντας απειλής επέλεξε το fodhelper.exe λόγω της ικανότητάς του να εκκινεί διαδικασίες με αυξημένα δικαιώματα διαχειριστή, χωρίς να ενεργοποιεί μια προτροπή ελέγχου λογαριασμού χρήστη (UAC).