라즈베리 로빈

웜과 유사한 기능을 가진 맬웨어가 Windows 시스템에 영향을 미치는 공격 캠페인에 사용되고 있습니다. 사이버 보안 연구원은 위협 및 관련 활동 클러스터를 Raspberry Robin 및 'QNAP 웜'으로 추적했습니다. 그들의 보고서에 따르면 Raspberry Robin 작업은 2021년 9월에 확인되었지만 대부분의 활동은 2022년 1월 이후에 발생했습니다. 위협의 피해자는 기술 및 제조 부문에서 운영하는 회사로 식별되었지만 잠재적으로 다른 사람도 되십시오. 지금까지 위협 행위자의 목표가 확인되지 않았다는 점에 유의해야 합니다.

합법적인 Windows 도구 악용

Raspberry Robin의 감염 체인은 USB 장치와 같은 감염된 이동식 드라이브에서 시작됩니다. 이러한 드라이브에는 합법적인 폴더로 위장한 바로 가기 .lnk 파일 형태의 Raspberry Robin 웜이 포함되어 있습니다. 위협 요소는 손상된 드라이브가 컴퓨터에 연결된 후 활성화됩니다. cmd.exe를 이용하여 감염된 외장 드라이브에 있는 파일을 읽고 실행합니다. 연구원들은 이 명령이 서로 다른 Raspberry Robin 탐지 간에 일관되며 웜이 수행하는 위협 활동의 지표로 사용될 수 있음을 발견했습니다.

이 맬웨어는 작업의 일부로 합법적인 Windows 유틸리티를 광범위하게 활용합니다. msiexec.exe(Microsoft Standard Installer)를 악용하여 다른 합법적인 설치 프로그램 패키지와 함께 손상된 DLL 파일을 가져와 실행합니다. DLL 파일은 지속성 관련 기능이 있는 것으로 믿어지며 손상된 QNAP 장치에서 호스팅될 가능성이 있는 손상된 명령 및 제어(C2, C&C) 도메인에서 가져옵니다. Raspberry Robin으로 인한 아웃바운드 C2 활동도 Windows 프로세스 regsvr32.exe, rundll32.exe 및 dllhost.exe를 사용하여 관찰되었습니다. 외부 네트워크 연결 시도는 TOR 노드의 IP 주소를 목표로 했습니다.

또한 Raspberry Robin은 msiexec.exe가 다른 실제 창 유틸리티인 fodhelper.exe를 실행하도록 합니다. 위협 요소는 rundll32.exe를 생성하고 위협적인 명령을 시작하는 데 의존합니다. 위협 행위자는 UAC(사용자 계정 컨트롤) 프롬프트를 트리거하지 않고 상승된 관리자 권한으로 프로세스를 시작할 수 있는 기능 때문에 fodhelper.exe를 선택했습니다.