Malinowy Robin

Złośliwe oprogramowanie o właściwościach robaka jest wykorzystywane w kampaniach ataków na systemy Windows. Zagrożenie i powiązany z nim klaster aktywności zostały wyśledzone przez badaczy cyberbezpieczeństwa jako Raspberry Robin i „robak QNAP”. Według ich raportów, operacja Raspberry Robin została zauważona już we wrześniu 2021 r., ale większość działań miała miejsce w styczniu 2022 r. i później. Ofiarami zagrożenia zostały zidentyfikowane firmy działające w sektorach technologicznym i produkcyjnym, ale potencjalnie mogą bądź też innymi. Należy zauważyć, że do tej pory cele aktorów zagrożenia nie zostały potwierdzone.

Wykorzystywanie legalnych narzędzi systemu Windows

Łańcuch infekcji Raspberry Robin zaczyna się od zainfekowanych dysków wymiennych, takich jak urządzenia USB. Dyski te zawierają robaka Raspberry Robin w postaci pliku skrótu .lnk, zamaskowanego jako prawdziwy folder. Zagrożenie aktywuje się po podłączeniu uszkodzonego dysku do komputera. Wykorzystuje cmd.exe do odczytu, a następnie wykonania pliku znalezionego na zainfekowanym dysku zewnętrznym. Naukowcy odkryli, że to polecenie jest spójne dla różnych wykrytych przez Raspberry Robina i może być używane jako wskaźnik zagrażających działań wykonywanych przez robaka.

W ramach swoich działań złośliwe oprogramowanie w znacznym stopniu wykorzystuje legalne narzędzia Windows. Wykorzystuje msiexec.exe (Microsoft Standard Installer) do pobierania i uruchamiania zhakowanego pliku DLL, wraz z innymi legalnymi pakietami instalacyjnymi. Uważa się, że plik DLL ma funkcje związane z trwałością i jest pobierany z uszkodzonej domeny Command-and-Control (C2, C&C), prawdopodobnie hostowanej na zhakowanych urządzeniach QNAP. Wychodząca aktywność C2 przypisywana Raspberry Robinowi została również zaobserwowana przy użyciu procesów systemu Windows regsvr32.exe, rundll32.exe i dllhost.exe. Próby połączeń z siecią zewnętrzną były skierowane na adresy IP w węzłach TOR.

Raspberry Robin zmusza również msiexec.exe do uruchomienia innego prawdziwego narzędzia Windows - fodhelper.exe. Zagrożenie polega na tym, aby wywołać rundll32.exe i zainicjować groźne polecenie. Aktor zagrożenia wybrał plik fodhelper.exe ze względu na jego zdolność do uruchamiania procesów z podwyższonymi uprawnieniami administratora, bez wywoływania monitu Kontroli konta użytkownika (UAC).