Málna Robin

Féregszerű képességekkel rendelkező kártevőt használnak a Windows rendszereket érintő támadási kampányokban. A fenyegetést és a hozzá kapcsolódó tevékenységcsoportot Raspberry Robin és „QNAP féreg” néven követték nyomon a kiberbiztonsági kutatók. Beszámolóik szerint a Raspberry Robin működését még 2021 szeptemberében vették észre, de a tevékenység nagy része 2022 januárjában és azt követően zajlott. A fenyegetés áldozatai a technológiai és gyártási szektorban tevékenykedő cégekként azonosíthatók, de előfordulhat, hogy legyen mások is. Meg kell jegyezni, hogy a fenyegetés szereplőinek céljait egyelőre nem erősítették meg.

Legális Windows-eszközök kihasználása

A Raspberry Robin fertőzési lánca a fertőzött cserélhető meghajtókkal, például USB-eszközökkel kezdődik. Ezek a meghajtók a Raspberry Robin férget tartalmazzák egy parancsikon .lnk fájl formájában, legitim mappaként álcázva. A fenyegetés akkor aktiválódik, amikor a sérült meghajtó csatlakozik a számítógéphez. A cmd.exe kihasználásával beolvassa, majd végrehajtja a fertőzött külső meghajtón található fájlt. A kutatók azt találták, hogy ez a parancs konzisztens a Raspberry Robin különböző észlelései között, és a féreg által végzett fenyegető tevékenységek indikátoraként használható.

Tevékenységének részeként a kártevő széles körben kihasználja a legális Windows segédprogramok előnyeit. Kihasználja az msiexec.exe-t (Microsoft Standard Installer), hogy lekérjen és végrehajtson egy kompromittált DLL-fájlt, más törvényes telepítőcsomagokkal együtt. Úgy gondolják, hogy a DLL-fájl tartóssággal kapcsolatos funkciókkal rendelkezik, és egy sérült Command-and-Control (C2, C&C) tartományból származik, amely valószínűleg feltört QNAP-eszközökön található. A Raspberry Robinnak tulajdonított kimenő C2 tevékenység a regsvr32.exe, rundll32.exe és dllhost.exe Windows-folyamatok használatával is megfigyelhető. A külső hálózati csatlakozási kísérletek a TOR csomópontokon lévő IP-címekre irányultak.

A Raspberry Robin arra kényszeríti az msiexec.exe-t, hogy indítson el egy másik valódi Window segédprogramot - a fodhelper.exe-t. A fenyegetés arra támaszkodik, hogy elindítja a rundll32.exe fájlt, és fenyegető parancsot indít el. A fenyegetettség szereplője azért választotta a fodhelper.exe-t, mert az képes folyamatokat elindítani emelt szintű rendszergazdai jogosultságokkal anélkül, hogy felhasználói fiókfelügyeleti (UAC) üzenetet váltana ki.