Zmeura Robin

Un malware cu capabilități asemănătoare viermilor este utilizat în campaniile de atac care afectează sistemele Windows. Amenințarea și grupul său de activitate asociat au fost urmărite ca Raspberry Robin și „viermele QNAP” de către cercetătorii de securitate cibernetică. Potrivit rapoartelor lor, operațiunea Raspberry Robin a fost observată încă din septembrie 2021, dar cea mai mare parte a activității s-a desfășurat în și după ianuarie 2022. Victimele amenințării au fost identificate ca fiind companii care operează în sectoarele tehnologiei și producției, dar ar putea exista fii si altii. De menționat că, până în prezent, obiectivele actorilor amenințărilor nu au fost confirmate.

Exploatarea instrumentelor Windows legitime

Lanțul de infecție al Raspberry Robin începe cu unități amovibile infectate, cum ar fi dispozitivele USB. Aceste unități conțin viermele Raspberry Robin sub forma unui fișier .lnk de comandă rapidă, deghizat ca un folder legitim. Amenințarea se activează după ce unitatea coruptă este conectată la computer. Profită de cmd.exe pentru a citi și apoi a executa un fișier găsit pe unitatea externă infectată. Cercetătorii au descoperit că această comandă este consecventă între diferitele detectări Raspberry Robin și poate fi folosită ca un indicator al activităților amenințătoare desfășurate de vierme.

Ca parte a acțiunilor sale, malware-ul profită în mare măsură de utilitățile Windows legitime. Acesta exploatează msiexec.exe (Microsoft Standard Installer) pentru a prelua și executa un fișier DLL compromis, alături de alte pachete de instalare legitime. Se crede că fișierul DLL are funcționalități legate de persistență și este preluat dintr-un domeniu corupt de comandă și control (C2, C&C), probabil găzduit pe dispozitive QNAP compromise. Activitatea C2 de ieșire atribuită lui Raspberry Robin a fost, de asemenea, observată folosind procesele Windows regsvr32.exe, rundll32.exe și dllhost.exe. Încercările de conectare la rețea externă au vizat adrese IP de pe nodurile TOR.

Raspberry Robin forțează, de asemenea, msiexec.exe să lanseze un alt utilitar Windows real - fodhelper.exe. Amenințarea se bazează pe ea pentru a genera rundll32.exe și a iniția o comandă amenințătoare. Actorul amenințării a ales fodhelper.exe datorită capacității sale de a lansa procese cu privilegii de administrator ridicate, fără a declanșa un prompt de control al contului de utilizator (UAC).