Frambozen Robin

Malware met wormachtige mogelijkheden wordt gebruikt in aanvalscampagnes die Windows-systemen beïnvloeden. De dreiging en het bijbehorende cluster van activiteiten zijn door cybersecurity-onderzoekers gevolgd als de Raspberry Robin en 'QNAP-worm'. Volgens hun rapporten werd de Raspberry Robin-operatie opgemerkt in september 2021, maar de meeste activiteit vond plaats in en na januari 2022. De slachtoffers van de dreiging zijn geïdentificeerd als bedrijven die actief zijn in de technologie- en productiesectoren, maar er kunnen mogelijk ook anderen zijn. Opgemerkt moet worden dat de doelstellingen van de dreigingsactoren tot nu toe niet zijn bevestigd.

Gebruik maken van legitieme Windows-hulpprogramma's

De infectieketen van de Raspberry Robin begint met geïnfecteerde verwisselbare schijven zoals USB-apparaten. Deze schijven bevatten de Raspberry Robin-worm in de vorm van een .lnk-snelkoppelingsbestand, vermomd als een legitieme map. De dreiging wordt geactiveerd nadat de beschadigde schijf op de computer is aangesloten. Het maakt gebruik van cmd.exe om een bestand op de geïnfecteerde externe schijf te lezen en vervolgens uit te voeren. De onderzoekers hebben ontdekt dat dit commando consistent is tussen verschillende Raspberry Robin-detecties en kan worden gebruikt als een indicator van de bedreigende activiteiten die door de worm worden uitgevoerd.

Als onderdeel van zijn acties maakt de malware uitgebreid gebruik van legitieme Windows-hulpprogramma's. Het maakt gebruik van msiexec.exe (Microsoft Standard Installer) om een gecompromitteerd DLL-bestand op te halen en uit te voeren, naast andere legitieme installatiepakketten. Aangenomen wordt dat het DLL-bestand persistentie-gerelateerde functionaliteit heeft en afkomstig is van een beschadigd Command-and-Control (C2, C&C)-domein, waarschijnlijk gehost op gecompromitteerde QNAP-apparaten. De uitgaande C2-activiteit die wordt toegeschreven aan Raspberry Robin is ook waargenomen met behulp van de Windows-processen regsvr32.exe, rundll32.exe en dllhost.exe. De externe netwerkverbindingspogingen waren gericht op IP-adressen op TOR-knooppunten.

De Raspberry Robin dwingt msiexec.exe ook om een ander echt Windows-hulpprogramma te starten - fodhelper.exe. De dreiging vertrouwt erop om rundll32.exe te spawnen en een dreigend commando te starten. De dreigingsactor koos voor fodhelper.exe vanwege de mogelijkheid om processen te starten met verhoogde beheerdersrechten, zonder een User Account Control (UAC)-prompt te activeren.