Malinový Robin

Malvér so schopnosťami podobnými červom sa používa v útočných kampaniach ovplyvňujúcich systémy Windows. Výskumníci v oblasti kybernetickej bezpečnosti sledovali hrozbu as ňou spojenú aktivitu ako Malina Robin a „červ QNAP“. Podľa ich správ bola operácia Raspberry Robin zaznamenaná už v septembri 2021, ale väčšina aktivít sa odohrala v januári 2022 a neskôr. Obete hrozby boli identifikované ako spoločnosti pôsobiace v technologickom a výrobnom sektore, ale potenciálne byť aj iní. Treba poznamenať, že zatiaľ neboli potvrdené ciele aktérov hrozby.

Využitie legitímnych nástrojov systému Windows

Infekčný reťazec Raspberry Robin začína infikovanými vymeniteľnými jednotkami, ako sú zariadenia USB. Tieto jednotky obsahujú červa Raspberry Robin vo forme skratkového súboru .lnk, ktorý sa maskuje ako legitímny priečinok. Hrozba sa aktivuje po pripojení poškodeného disku k počítaču. Na čítanie a následné spustenie súboru nájdeného na infikovanom externom disku využíva cmd.exe. Výskumníci zistili, že tento príkaz je konzistentný medzi rôznymi detekciami malinového Robina a môže byť použitý ako indikátor hrozivých aktivít vykonávaných červom.

V rámci svojich akcií malvér rozsiahle využíva legitímne nástroje systému Windows. Využíva msiexec.exe (Microsoft Standard Installer) na načítanie a spustenie kompromitovaného súboru DLL spolu s ďalšími legitímnymi inštalačnými balíkmi. Predpokladá sa, že súbor DLL má funkcie súvisiace s pretrvávaním a je prevzatý z poškodenej domény Command-and-Control (C2, C&C), ktorá je pravdepodobne hosťovaná na kompromitovaných zariadeniach QNAP. Odchádzajúca aktivita C2 pripisovaná Raspberry Robin bola tiež pozorovaná pomocou procesov Windows regsvr32.exe, rundll32.exe a dllhost.exe. Pokusy o pripojenie k externej sieti boli zamerané na adresy IP na uzloch TOR.

Raspberry Robin tiež núti msiexec.exe spustiť ďalšiu skutočnú pomôcku Windows - fodhelper.exe. Hrozba sa spolieha na to, že spustí rundll32.exe a spustí hrozivý príkaz. Aktér hrozby si vybral fodhelper.exe kvôli jeho schopnosti spúšťať procesy so zvýšenými oprávneniami správcu bez spustenia výzvy Kontrola používateľských účtov (UAC).