رزبری رابین
یک بدافزار با قابلیتهای کرم مانند در کمپینهای حملهای که بر سیستمهای ویندوز تأثیر میگذارند استفاده میشود. این تهدید و مجموعه فعالیت های مرتبط با آن به عنوان Raspberry Robin و "کرم QNAP" توسط محققان امنیت سایبری ردیابی شده است. بر اساس گزارش های آنها، عملیات Raspberry Robin در سپتامبر 2021 مورد توجه قرار گرفت، اما بیشتر فعالیت ها در ژانویه 2022 و پس از آن انجام شد. قربانیان تهدید به عنوان شرکت هایی شناخته شده اند که در بخش های فناوری و تولید فعالیت می کنند، اما به طور بالقوه می توانند وجود داشته باشند. دیگران نیز باشند لازم به ذکر است که تاکنون اهداف بازیگران تهدید تایید نشده است.
بهره برداری از ابزارهای قانونی ویندوز
زنجیره عفونت Raspberry Robin با درایوهای قابل جابجایی آلوده مانند دستگاه های USB شروع می شود. این درایوها حاوی کرم Raspberry Robin در قالب یک فایل میانبر .lnk هستند که به عنوان یک پوشه قانونی پنهان شده است. این تهدید پس از اتصال درایو خراب به رایانه فعال می شود. از cmd.exe برای خواندن و سپس اجرای فایل موجود در درایو خارجی آلوده استفاده می کند. محققان دریافتهاند که این فرمان بین تشخیصهای مختلف Raspberry Robin سازگار است و میتواند به عنوان شاخصی از فعالیتهای تهدیدآمیز انجام شده توسط کرم استفاده شود.
این بدافزار به عنوان بخشی از اقدامات خود، از مزیتهای نرمافزاری قانونی ویندوز بهره میبرد. از msiexec.exe (نصب کننده استاندارد مایکروسافت) برای واکشی و اجرای یک فایل DLL در معرض خطر، در کنار سایر بسته های نصب کننده قانونی، سوء استفاده می کند. اعتقاد بر این است که فایل DLL دارای عملکرد مرتبط با ماندگاری است و از دامنه فرمان و کنترل (C2, C&C) خراب گرفته شده است که احتمالاً روی دستگاههای QNAP در معرض خطر میزبانی میشود. فعالیت خروجی C2 منتسب به Raspberry Robin نیز با استفاده از فرآیندهای Windows regsvr32.exe، rundll32.exe و dllhost.exe مشاهده شده است. تلاشهای اتصال شبکه خارجی به آدرسهای IP در گرههای TOR انجام شد.
Raspberry Robin همچنین msiexec.exe را مجبور میکند تا یک ابزار واقعی Window - fodhelper.exe را راهاندازی کند. این تهدید برای ایجاد rundll32.exe و شروع یک فرمان تهدید کننده به آن متکی است. عامل تهدید، fodhelper.exe را به دلیل توانایی آن در راهاندازی فرآیندهایی با امتیازات مدیریت بالا، بدون ایجاد فرمان کنترل حساب کاربری (UAC) انتخاب کرد.