Malina Robin

Zlonamerna programska oprema z zmožnostmi, podobnimi črvom, se uporablja v napadih, ki vplivajo na sisteme Windows. Raziskovalci kibernetske varnosti so grožnjo in z njo povezano skupino zasledili kot Raspberry Robin in 'QNAP črv'. Po njihovih poročilih je bila operacija Raspberry Robin opažena že septembra 2021, vendar se je večina dejavnosti zgodila januarja 2022 in po njem. Žrtve grožnje so identificirali kot podjetja, ki delujejo v tehnološkem in proizvodnem sektorju, vendar bi lahko bodite tudi drugi. Treba je opozoriti, da doslej cilji akterjev grožnje niso bili potrjeni.

Izkoriščanje zakonitih orodij Windows

Veriga okužbe Raspberry Robin se začne z okuženimi izmenljivimi pogoni, kot so naprave USB. Ti pogoni vsebujejo črva Raspberry Robin v obliki datoteke .lnk bližnjice, prikrite kot zakonita mapa. Grožnja se aktivira, ko je poškodovan pogon povezan z računalnikom. Izkorišča cmd.exe za branje in nato izvajanje datoteke, najdene na okuženem zunanjem pogonu. Raziskovalci so ugotovili, da je ta ukaz skladen med različnimi zaznavami Raspberry Robin in se lahko uporablja kot indikator nevarnih dejavnosti, ki jih izvaja črv.

Kot del svojih dejanj zlonamerna programska oprema v veliki meri izkorišča legitimne pripomočke Windows. Izkorišča msiexec.exe (Microsoft Standard Installer) za pridobivanje in izvajanje ogrožene datoteke DLL, skupaj z drugimi zakonitimi namestitvenimi paketi. Verjame se, da ima datoteka DLL funkcionalnost, povezano z obstojnostjo, in je vzeta iz poškodovane domene Command-and-Control (C2, C&C), ki verjetno gostuje na ogroženih napravah QNAP. Izhodna dejavnost C2, pripisana Raspberry Robin, je bila opažena tudi z uporabo procesov Windows regsvr32.exe, rundll32.exe in dllhost.exe. Poskusi zunanje omrežne povezave so bili usmerjeni na naslove IP na vozliščih TOR.

Raspberry Robin tudi prisili msiexec.exe, da zažene še en pravi pripomoček Window - fodhelper.exe. Grožnja se zanaša na to, da sproži rundll32.exe in sproži grozeč ukaz. Udeleženec grožnje je izbral fodhelper.exe zaradi njegove zmožnosti zagona procesov s povišanimi skrbniškimi privilegiji, ne da bi sprožil poziv za nadzor uporabniškega računa (UAC).