Mitme seadme litsentsid (mahuallahindlused)
Threat Database Worms Vaarikas Robin

Vaarikas Robin

Aastaks CagedTech aastal Worms, Malware
Tõlgi:
Eesti

Ussilaadsete võimalustega pahavara kasutatakse Windowsi süsteeme mõjutavates ründekampaaniates. Küberjulgeoleku uurijad on seda ohtu ja sellega seotud tegevusklastrit jälginud kui Raspberry Robin ja "QNAP uss". Nende aruannete kohaselt märgati Raspberry Robini tegevust juba 2021. aasta septembris, kuid suurem osa tegevusest toimus 2022. aasta jaanuaris ja pärast seda. Ohu ohvriteks on tuvastatud tehnoloogia- ja tootmissektoris tegutsevad ettevõtted, kuid potentsiaalselt võivad seal olla ka ettevõtted. ole ka teised. Tuleb märkida, et siiani pole ohus osalejate eesmärke kinnitatud.

Legitiimsete Windowsi tööriistade kasutamine

Raspberry Robini nakkusahel algab nakatunud irdketaste, näiteks USB-seadmetega. Need draivid sisaldavad Raspberry Robin ussi otsetee lnk-failina, mis on maskeeritud seadusliku kaustana. Oht aktiveerub pärast rikutud draivi ühendamist arvutiga. See kasutab ära cmd.exe, et lugeda ja seejärel käivitada nakatunud väliselt draivil leitud fail. Teadlased on leidnud, et see käsk on kooskõlas erinevate Raspberry Robini tuvastustega ja seda saab kasutada ussi ähvardavate tegevuste indikaatorina.

Osana oma tegevustest kasutab pahavara laialdaselt ära legitiimseid Windowsi utiliite. See kasutab msiexec.exe-d (Microsoft Standard Installer) rikutud DLL-faili toomiseks ja käivitamiseks koos muude seaduslike installipakettidega. Arvatakse, et DLL-failil on püsivusega seotud funktsioonid ja see on võetud rikutud Command-and-Control (C2, C&C) domeenist, mis on tõenäoliselt hostitud ohustatud QNAP-seadmetes. Raspberry Robinile omistatud väljaminevat C2-tegevust on täheldatud ka Windowsi protsesside regsvr32.exe, rundll32.exe ja dllhost.exe abil. Välise võrguühenduse katsed olid suunatud TOR-sõlmede IP-aadressidele.

Raspberry Robin sunnib ka msiexec.exe käivitama veel ühe tõelise Windowsi utiliidi – fodhelper.exe. See oht loob rundll32.exe ja käivitab ähvardava käsu. Ohustaja valis faili fodhelper.exe, kuna see suudab käivitada protsesse kõrgendatud administraatoriõigustega ilma kasutajakonto kontrolli (UAC) viipa käivitamata.

Trendikas

Enim vaadatud

Laadimine...