Raspberry Robin

En skadevare med ormlignende funksjoner blir brukt i angrepskampanjer som påvirker Windows-systemer. Trusselen og den tilhørende aktivitetsklyngen har blitt sporet som Raspberry Robin og 'QNAP-ormen' av cybersikkerhetsforskere. Ifølge deres rapporter ble Raspberry Robin-operasjonen lagt merke til tilbake i september 2021, men mesteparten av aktiviteten fant sted i og etter januar 2022. Ofre for trusselen har blitt identifisert som selskaper som opererer i teknologi- og produksjonssektorene, men det kan potensielt være andre også. Det skal bemerkes at målene til trusselaktørene så langt ikke er bekreftet.

Utnyttelse av legitime Windows-verktøy

Infeksjonskjeden til Raspberry Robin begynner med infiserte flyttbare stasjoner som USB-enheter. Disse stasjonene inneholder Raspberry Robin-ormen i form av en snarvei .lnk-fil, forkledd som en legitim mappe. Trusselen aktiveres etter at den ødelagte stasjonen er koblet til datamaskinen. Den utnytter cmd.exe for å lese og deretter kjøre en fil som finnes på den infiserte eksterne stasjonen. Forskerne har funnet ut at denne kommandoen er konsistent mellom forskjellige Raspberry Robin-deteksjoner, og kan brukes som en indikator på de truende aktivitetene ormen utfører.

Som en del av handlingene, drar skadelig programvare utstrakt fordel av legitime Windows-verktøy. Den utnytter msiexec.exe (Microsoft Standard Installer) for å hente og kjøre en kompromittert DLL-fil, sammen med andre legitime installasjonspakker. DLL-filen antas å ha utholdenhetsrelatert funksjonalitet og er hentet fra et ødelagt Command-and-Control (C2, C&C)-domene, sannsynligvis vert på kompromitterte QNAP-enheter. Den utgående C2-aktiviteten tilskrevet Raspberry Robin har også blitt observert ved bruk av Windows-prosessene regsvr32.exe, rundll32.exe og dllhost.exe. De eksterne nettverkstilkoblingsforsøkene var rettet mot IP-adresser på TOR-noder.

Raspberry Robin tvinger også msiexec.exe til å starte et annet ekte Window-verktøy - fodhelper.exe. Trusselen er avhengig av den for å skape rundll32.exe og starte en truende kommando. Trusselaktøren valgte fodhelper.exe på grunn av dens evne til å starte prosesser med forhøyede administratorrettigheter, uten å utløse en brukerkontokontroll (UAC)-forespørsel.