רובין פטל

תוכנה זדונית עם יכולות דמויות תולעים נמצאות בשימוש בקמפיינים התקפה המשפיעים על מערכות Windows. חוקרי אבטחת סייבר עקבו אחר האיום ואשכול הפעילות הקשור אליו כ-Raspberry Robin ו-'QNAP תולעת'. על פי הדיווחים שלהם, פעולת פטל רובין הבחינה עוד בספטמבר 2021, אך מרבית הפעילות התרחשה בינואר 2022 ואחריה. קורבנות האיום זוהו כחברות הפועלות במגזרי הטכנולוגיה והייצור, אך ייתכן שקיימת אפשרות לכך. להיות גם אחרים. יצוין כי, עד כה, מטרותיהם של גורמי האיום לא אושרו.

ניצול כלי Windows לגיטימיים

שרשרת ההדבקה של Raspberry Robin מתחילה בכוננים נשלפים נגועים כמו התקני USB. כוננים אלה מכילים את תולעת Raspberry Robin בצורה של קובץ קיצור .lnk, במסווה של תיקייה לגיטימית. האיום מופעל לאחר חיבור הכונן הפגום למחשב. זה מנצל את היתרונות של cmd.exe כדי לקרוא ולאחר מכן להפעיל קובץ שנמצא בכונן החיצוני הנגוע. החוקרים מצאו שהפקודה הזו עקבית בין זיהויים שונים של Raspberry Robin, ויכולה לשמש כאינדיקטור לפעילויות המאיימות שמבצעת התולעת.

כחלק מפעולותיה, התוכנה הזדונית מנצלת יתרון נרחב של כלי עזר לגיטימיים של Windows. הוא מנצל את msiexec.exe (מתקין סטנדרטי של Microsoft) כדי להביא ולהפעיל קובץ DLL שנפגע, לצד חבילות התקנה לגיטימיות אחרות. מאמינים שקובץ ה-DLL הוא בעל פונקציונליות הקשורה להתמדה והוא נלקח מתחום Command-and-Control (C2, C&C) פגום, ככל הנראה מתארח במכשירי QNAP שנפגעו. פעילות C2 היוצאת המיוחסת ל-Raspberry Robin נצפתה גם באמצעות תהליכי Windows regsvr32.exe, rundll32.exe ו-dllhost.exe. ניסיונות החיבור החיצוני לרשת כוונו לכתובות IP בצמתי TOR.

ה-Raspberry Robin גם מאלץ את msiexec.exe להפעיל כלי עזר אמיתי אחר של Windows - fodhelper.exe. האיום מסתמך עליו כדי להריץ rundll32.exe וליזום פקודה מאיימת. שחקן האיום בחר ב-fodhelper.exe בשל יכולתו להפעיל תהליכים עם הרשאות אדמין גבוהות, מבלי להפעיל הודעת בקרת חשבון משתמש (UAC).