Малиновый Робин

Вредоносное ПО с возможностями червя используется в кампаниях атак, затрагивающих системы Windows. Угроза и связанный с ней кластер активности были отслежены исследователями кибербезопасности как Raspberry Robin и «червь QNAP». Согласно их отчетам, операция Raspberry Robin была замечена еще в сентябре 2021 года, но большая часть активности имела место в январе 2022 года и после него. Жертвами угрозы стали компании, работающие в технологическом и производственном секторах, но потенциально могут быть и другими. Следует отметить, что пока цели злоумышленников не подтверждены.

Использование легитимных инструментов Windows

Цепочка заражения Raspberry Robin начинается с зараженных съемных носителей, таких как USB-устройства. Эти диски содержат червя Raspberry Robin в виде ярлыка .lnk-файла, замаскированного под подлинную папку. Угроза активируется после подключения поврежденного диска к компьютеру. Он использует cmd.exe для чтения и последующего выполнения файла, найденного на зараженном внешнем диске. Исследователи обнаружили, что эта команда согласуется между различными обнаружениями Raspberry Robin и может использоваться в качестве индикатора угрожающих действий червя.

В рамках своих действий вредоносное ПО широко использует легитимные утилиты Windows. Он использует msiexec.exe (стандартный установщик Microsoft) для извлечения и запуска скомпрометированного файла DLL вместе с другими законными пакетами установщика. Предполагается, что DLL-файл обладает функциональностью, связанной с сохранением данных, и взят из поврежденного домена управления и контроля (C2, C&C), вероятно, размещенного на скомпрометированных устройствах QNAP. Исходящая активность C2, приписываемая Raspberry Robin, также наблюдалась с использованием процессов Windows regsvr32.exe, rundll32.exe и dllhost.exe. Попытки подключения к внешней сети были нацелены на IP-адреса на узлах TOR.

Raspberry Robin также заставляет msiexec.exe запускать другую настоящую утилиту Windows — fodhelper.exe. Угроза полагается на то, что он порождает rundll32.exe и инициирует угрожающую команду. Злоумышленник выбрал fodhelper.exe из-за его способности запускать процессы с повышенными правами администратора, не вызывая запрос контроля учетных записей (UAC).