Raspberry Robin
Një malware me aftësi të ngjashme me krimbat po përdoret në fushatat sulmuese që prekin sistemet Windows. Kërcënimi dhe grupi i aktivitetit të lidhur me të janë gjurmuar si Raspberry Robin dhe 'krimbi QNAP' nga studiues të sigurisë kibernetike. Sipas raporteve të tyre, operacioni Raspberry Robin u vu re në shtator 2021, por pjesa më e madhe e aktivitetit u zhvillua në dhe pas janarit 2022. Viktimat e kërcënimit janë identifikuar si kompani që operojnë në sektorët e teknologjisë dhe prodhimit, por potencialisht mund të të jenë edhe të tjerët. Duhet theksuar se deri më tani nuk janë konfirmuar qëllimet e aktorëve të kërcënimit.
Shfrytëzimi i mjeteve legjitime të Windows
Zinxhiri i infeksionit të Raspberry Robin fillon me disqet e lëvizshme të infektuara siç janë pajisjet USB. Këto disqe përmbajnë krimbin Raspberry Robin në formën e një skedari të shkurtoreve .lnk, i maskuar si një dosje legjitime. Kërcënimi aktivizohet pasi disku i dëmtuar të lidhet me kompjuterin. Ai përfiton nga cmd.exe për të lexuar dhe më pas për të ekzekutuar një skedar që gjendet në diskun e jashtëm të infektuar. Studiuesit kanë zbuluar se kjo komandë është e qëndrueshme midis zbulimeve të ndryshme të Raspberry Robin dhe mund të përdoret si një tregues i aktiviteteve kërcënuese të kryera nga krimbi.
Si pjesë e veprimeve të tij, malware përfiton shumë nga shërbimet legjitime të Windows. Ai shfrytëzon msiexec.exe (Instaluesi standard i Microsoft) për të marrë dhe ekzekutuar një skedar DLL të komprometuar, së bashku me paketat e tjera legjitime të instaluesit. Skedari DLL besohet të ketë funksione të lidhura me qëndrueshmërinë dhe është marrë nga një domen i korruptuar Command-and-Control (C2, C&C), i cili ka të ngjarë të jetë i pritur në pajisjet e komprometuara QNAP. Aktiviteti i jashtëm C2 që i atribuohet Raspberry Robin është vërejtur gjithashtu duke përdorur proceset e Windows regsvr32.exe, rundll32.exe dhe dllhost.exe. Përpjekjet për lidhjen e rrjetit të jashtëm kishin për qëllim adresat IP në nyjet TOR.
Raspberry Robin gjithashtu detyron msiexec.exe të nisë një mjet tjetër të vërtetë të Window - fodhelper.exe. Kërcënimi mbështetet në të për të krijuar rundll32.exe dhe për të inicuar një komandë kërcënuese. Aktori i kërcënimit zgjodhi fodhelper.exe për shkak të aftësisë së tij për të nisur procese me privilegje të ngritura të administratorit, pa shkaktuar një kërkesë të Kontrollit të Llogarisë së Përdoruesit (UAC).