Raspberi Robin

Satu perisian hasad dengan keupayaan seperti cacing sedang digunakan dalam kempen serangan yang menjejaskan sistem Windows. Ancaman dan kelompok aktiviti yang berkaitan telah dikesan sebagai Raspberry Robin dan 'cacing QNAP' oleh penyelidik keselamatan siber. Menurut laporan mereka, operasi Raspberry Robin telah disedari pada September 2021, tetapi kebanyakan aktiviti itu berlaku pada dan selepas Januari 2022. Mangsa ancaman telah dikenal pasti sebagai syarikat yang beroperasi dalam sektor teknologi dan pembuatan, tetapi terdapat kemungkinan jadi orang lain juga. Perlu diingatkan bahawa, setakat ini, matlamat pelakon ancaman itu belum disahkan.

Mengeksploitasi Alat Windows yang Sah

Rantaian jangkitan Raspberry Robin bermula dengan pemacu boleh tanggal yang dijangkiti seperti peranti USB. Pemacu ini mengandungi cacing Raspberry Robin dalam bentuk fail .lnk pintasan, menyamar sebagai folder yang sah. Ancaman diaktifkan selepas pemacu yang rosak disambungkan ke komputer. Ia mengambil kesempatan daripada cmd.exe untuk membaca dan kemudian melaksanakan fail yang terdapat pada pemacu luaran yang dijangkiti. Para penyelidik telah mendapati bahawa arahan ini adalah konsisten antara pengesanan Raspberry Robin yang berbeza, dan boleh digunakan sebagai penunjuk aktiviti mengancam yang dijalankan oleh cacing.

Sebagai sebahagian daripada tindakannya, perisian hasad mengambil kelebihan luas daripada utiliti Windows yang sah. Ia mengeksploitasi msiexec.exe (Microsoft Standard Installer) untuk mengambil dan melaksanakan fail DLL yang terjejas, bersama pakej pemasang sah yang lain. Fail DLL dipercayai mempunyai fungsi berkaitan kegigihan dan diambil daripada domain Command-and-Control (C2, C&C) yang rosak, mungkin dihoskan pada peranti QNAP yang terjejas. Aktiviti C2 keluar yang dikaitkan dengan Raspberry Robin juga telah diperhatikan menggunakan proses Windows regsvr32.exe, rundll32.exe dan dllhost.exe. Percubaan sambungan rangkaian luaran ditujukan kepada alamat IP pada nod TOR.

Raspberry Robin juga memaksa msiexec.exe untuk melancarkan satu lagi utiliti Tetingkap sebenar - fodhelper.exe. Ancaman bergantung padanya untuk menghasilkan rundll32.exe dan memulakan perintah mengancam. Aktor ancaman memilih fodhelper.exe kerana keupayaannya untuk melancarkan proses dengan keistimewaan pentadbir yang tinggi, tanpa mencetuskan gesaan Kawalan Akaun Pengguna (UAC).