Vadelma Robin

Haittaohjelmaa, jossa on matomaisia ominaisuuksia, käytetään Windows-järjestelmiä koskevissa hyökkäyskampanjoissa. Kyberturvallisuustutkijat ovat seuranneet uhkaa ja siihen liittyvää toimintaklusteria Raspberry Robinina ja "QNAP-matona". Heidän raporttinsa mukaan Raspberry Robin -toiminta havaittiin jo syyskuussa 2021, mutta suurin osa toiminnasta tapahtui tammikuussa 2022 ja sen jälkeen. Uhan uhreiksi on tunnistettu teknologia- ja valmistussektorilla toimivia yrityksiä, mutta siellä saattaa olla mahdollista. olla myös muita. On huomattava, että uhkatoimijoiden tavoitteita ei ole toistaiseksi vahvistettu.

Laillisten Windows-työkalujen hyödyntäminen

Raspberry Robinin tartuntaketju alkaa tartunnan saaneista siirrettävistä asemista, kuten USB-laitteista. Nämä asemat sisältävät Raspberry Robin -madon .lnk-pikakuvakkeen muodossa, joka on naamioitu lailliseksi kansioksi. Uhka aktivoituu, kun vioittunut asema on liitetty tietokoneeseen. Se hyödyntää cmd.exe-tiedostoa tartunnan saaneelta ulkopuolelta löytyneen tiedoston lukemiseen ja suorittamiseen. Tutkijat ovat havainneet, että tämä komento on johdonmukainen eri Raspberry Robin -havaintojen välillä ja sitä voidaan käyttää indikaattorina madon suorittamista uhkaavista toimista.

Osana toimiaan haittaohjelma hyödyntää laajasti laillisia Windows-apuohjelmia. Se hyödyntää msiexec.exe-ohjelmaa (Microsoft Standard Installer) hakeakseen ja suorittaakseen vaarantuneen DLL-tiedoston muiden laillisten asennuspakettien ohella. DLL-tiedostolla uskotaan olevan pysyvyyteen liittyviä toimintoja, ja se on otettu vioittuneelta Command-and-Control (C2, C&C) -toimialueelta, jota todennäköisesti isännöidään vaarantuneissa QNAP-laitteissa. Raspberry Robinille laskettu lähtevä C2-toiminta on myös havaittu käyttämällä Windowsin prosesseja regsvr32.exe, rundll32.exe ja dllhost.exe. Ulkoisen verkon yhteysyritykset kohdistuivat TOR-solmujen IP-osoitteisiin.

Raspberry Robin pakottaa myös msiexec.exe-tiedoston käynnistämään toisen oikean ikkuna-apuohjelman - fodhelper.exe-ohjelman. Uhka luottaa siihen, että se synnyttää rundll32.exe-tiedoston ja käynnistää uhkaavan komennon. Uhkatoimija valitsi fodhelper.exe-tiedoston, koska se pystyi käynnistämään prosesseja korotetuilla järjestelmänvalvojan oikeuksilla käynnistämättä käyttäjätilien valvontaa (UAC).