Aveņu Robins

Uzbrukuma kampaņās, kas ietekmē Windows sistēmas, tiek izmantota ļaunprātīga programmatūra ar tārpiem līdzīgām iespējām. Kiberdrošības pētnieki ir izsekojuši apdraudējumu un ar to saistīto darbību kopu kā Raspberry Robin un "QNAP tārpu". Saskaņā ar viņu ziņojumiem, Raspberry Robin darbība tika pamanīta jau 2021. gada septembrī, bet lielākā daļa darbības notika 2022. gada janvārī un pēc tam. Par draudu upuriem ir identificēti uzņēmumi, kas darbojas tehnoloģiju un ražošanas nozarēs, taču potenciāli varētu būt esiet arī citi. Jāpiebilst, ka līdz šim apdraudējuma dalībnieku mērķi nav apstiprināti.

Likumīgo Windows rīku izmantošana

Raspberry Robin infekcijas ķēde sākas ar inficētiem noņemamiem diskdziņiem, piemēram, USB ierīcēm. Šajos diskos ir Raspberry Robin tārps saīsnes .lnk faila veidā, kas ir slēpts kā likumīga mape. Draudi aktivizējas pēc tam, kad bojātais disks ir pievienots datoram. Tas izmanto cmd.exe priekšrocības, lai lasītu un pēc tam izpildītu failu, kas atrodas inficētajā ārējā diskdzinī. Pētnieki ir atklājuši, ka šī komanda atbilst dažādiem Raspberry Robin noteikumiem un to var izmantot kā tārpa veikto apdraudošo darbību indikatoru.

Savu darbību ietvaros ļaunprogrammatūra plaši izmanto likumīgu Windows utilītu priekšrocības. Tas izmanto msiexec.exe (Microsoft Standard Installer), lai kopā ar citām likumīgām instalēšanas pakotnēm ielādētu un izpildītu apdraudētu DLL failu. Tiek uzskatīts, ka DLL failam ir ar noturību saistīta funkcionalitāte, un tas ir iegūts no bojāta Command-and-Control (C2, C&C) domēna, kas, iespējams, tiek mitināts apdraudētās QNAP ierīcēs. Izejošā C2 darbība, kas attiecināta uz Raspberry Robin, arī tika novērota, izmantojot Windows procesus regsvr32.exe, rundll32.exe un dllhost.exe. Ārējā tīkla savienojuma mēģinājumi bija vērsti uz IP adresēm TOR mezglos.

Raspberry Robin arī liek msiexec.exe palaist citu īstu Window utilītu - fodhelper.exe. Draudi paļaujas uz to, lai radītu rundll32.exe un sāktu draudošu komandu. Apdraudējuma izraisītājs izvēlējās failu fodhelper.exe, jo tas spēj palaist procesus ar paaugstinātām administratora privilēģijām, neizraisot lietotāja konta kontroles (UAC) uzvedni.