Raspberry Robin
មេរោគដែលមានសមត្ថភាពដូចពពួក Worm កំពុងត្រូវបានប្រើប្រាស់នៅក្នុងយុទ្ធនាការវាយប្រហារដែលប៉ះពាល់ដល់ប្រព័ន្ធ Windows ។ ការគំរាមកំហែង និងសកម្មភាពដែលពាក់ព័ន្ធរបស់វាត្រូវបានតាមដានជា Raspberry Robin និង 'QNAP worm' ដោយអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិត។ យោងតាមរបាយការណ៍របស់ពួកគេ ប្រតិបត្តិការ Raspberry Robin ត្រូវបានគេកត់សម្គាល់ឃើញត្រឡប់មកវិញនៅក្នុងខែកញ្ញា ឆ្នាំ 2021 ប៉ុន្តែសកម្មភាពភាគច្រើនបានកើតឡើងនៅក្នុង និងក្រោយខែមករា ឆ្នាំ 2022។ ជនរងគ្រោះនៃការគំរាមកំហែងត្រូវបានកំណត់ថាជាក្រុមហ៊ុនដែលកំពុងប្រតិបត្តិការក្នុងវិស័យបច្ចេកវិទ្យា និងផលិតកម្ម ប៉ុន្តែអាចមានសក្តានុពល ធ្វើជាអ្នកដទៃផងដែរ។ គួរជម្រាបថា រហូតមកដល់ពេលនេះ គោលដៅរបស់ជនគំរាមកំហែង មិនទាន់ត្រូវបានបញ្ជាក់នៅឡើយទេ។
ការទាញយកឧបករណ៍វីនដូស្របច្បាប់
ខ្សែសង្វាក់ឆ្លងមេរោគ Raspberry Robin ចាប់ផ្តើមជាមួយនឹងមេរោគដែលអាចដកចេញបានដូចជាឧបករណ៍ USB ជាដើម។ ដ្រាយទាំងនេះមានដង្កូវ Raspberry Robin ក្នុងទម្រង់ជាផ្លូវកាត់ឯកសារ .lnk ដែលក្លែងធ្វើជាថតឯកសារស្របច្បាប់។ ការគំរាមកំហែងនេះដំណើរការបន្ទាប់ពីដ្រាយដែលខូចត្រូវបានភ្ជាប់ទៅកុំព្យូទ័រ។ វាប្រើអត្ថប្រយោជន៍នៃ cmd.exe ដើម្បីអានហើយបន្ទាប់មកប្រតិបត្តិឯកសារដែលរកឃើញនៅលើដ្រាយខាងក្រៅដែលមានមេរោគ។ អ្នកស្រាវជ្រាវបានរកឃើញថាពាក្យបញ្ជានេះគឺស្របគ្នារវាងការរកឃើញ Raspberry Robin ផ្សេងៗគ្នា ហើយអាចប្រើជាសូចនាករនៃសកម្មភាពគំរាមកំហែងដែលធ្វើឡើងដោយពពួក Worm ។
ជាផ្នែកនៃសកម្មភាពរបស់វា មេរោគទាញយកអត្ថប្រយោជន៍យ៉ាងទូលំទូលាយពីឧបករណ៍ប្រើប្រាស់ Windows ស្របច្បាប់។ វាកេងប្រវ័ញ្ច msiexec.exe (Microsoft Standard Installer) ដើម្បីទាញយក និងប្រតិបត្តិឯកសារ DLL ដែលត្រូវបានសម្របសម្រួល រួមជាមួយនឹងកញ្ចប់កម្មវិធីដំឡើងស្របច្បាប់ផ្សេងទៀត។ ឯកសារ DLL ត្រូវបានគេជឿថាមានមុខងារដែលទាក់ទងនឹងការតស៊ូ ហើយត្រូវបានយកចេញពីដែន Command-and-Control (C2, C&C) ដែលខូច ដែលទំនងជាបង្ហោះនៅលើឧបករណ៍ QNAP ដែលត្រូវបានសម្របសម្រួល។ សកម្មភាព C2 ចេញមកពី Raspberry Robin ក៏ត្រូវបានគេសង្កេតឃើញផងដែរ ដោយប្រើដំណើរការ Windows regsvr32.exe, rundll32.exe និង dllhost.exe ។ ការប៉ុនប៉ងភ្ជាប់បណ្តាញខាងក្រៅគឺសំដៅទៅអាសយដ្ឋាន IP នៅលើថ្នាំង TOR ។
Raspberry Robin ក៏បង្ខំ msiexec.exe ឱ្យដំណើរការឧបករណ៍ប្រើប្រាស់ Window ពិតប្រាកដមួយផ្សេងទៀត - fodhelper.exe ។ ការគំរាមកំហែងពឹងផ្អែកលើវាដើម្បីបង្កើត rundll32.exe ហើយចាប់ផ្តើមពាក្យបញ្ជាគំរាមកំហែង។ តួអង្គគំរាមកំហែងបានជ្រើសរើស fodhelper.exe ដោយសារតែសមត្ថភាពរបស់វាក្នុងការចាប់ផ្តើមដំណើរការជាមួយនឹងសិទ្ធិគ្រប់គ្រងកម្រិតខ្ពស់ ដោយមិនបង្កឱ្យមានការបញ្ចូលប្រអប់បញ្ចូលការគ្រប់គ្រងគណនីអ្នកប្រើប្រាស់ (UAC)។
