Распберри Робин

Малвер са могућностима сличним црву користи се у кампањама напада које утичу на Виндовс системе. Истраживачи сајбер безбедности су пратили претњу и повезану групу активности као Распберри Робин и 'КНАП црв'. Према њиховим извештајима, операција Распберри Робин примећена је још у септембру 2021. године, али се већина активности одвијала у јануару 2022. и након тога. Жртве претње идентификоване су као компаније које послују у технолошком и производном сектору, али би потенцијално могло буди и други. Треба напоменути да, до сада, циљеви актера претњи нису потврђени.

Искоришћавање легитимних Виндовс алата

Ланац инфекције Распберри Робин-а почиње са зараженим преносивим дисковима као што су УСБ уређаји. Ови дискови садрже црва Распберри Робин у облику .лнк датотеке пречице, прерушене у легитимну фасциклу. Претња се активира након што се оштећени диск повеже са рачунаром. Користи цмд.еке да прочита, а затим изврши датотеку која се налази на зараженом спољном диску. Истраживачи су открили да је ова команда конзистентна између различитих детекција Распберри Робина и да се може користити као индикатор претећих активности које спроводи црв.

Као део својих акција, злонамерни софтвер у великој мери користи легитимне Виндовс услужне програме. Он искоришћава мсиекец.еке (Мицрософт Стандард Инсталлер) да преузме и изврши компромитовану ДЛЛ датотеку, заједно са другим легитимним инсталационим пакетима. Верује се да ДЛЛ датотека има функционалност у вези са постојаношћу и да је преузета са оштећеног домена командовања и контроле (Ц2, Ц&Ц), који се вероватно налази на компромитованим КНАП уређајима. Излазна Ц2 активност приписана Распберри Робин-у је такође примећена коришћењем Виндовс процеса регсвр32.еке, рундлл32.еке и дллхост.еке. Покушаји повезивања са екстерном мрежом били су усмерени на ИП адресе на ТОР чворовима.

Распберри Робин такође приморава мсиекец.еке да покрене још један прави услужни програм за Виндовс - фодхелпер.еке. Претња се ослања на то да би покренула рундлл32.еке и покренула претећу команду. Актер претње је изабрао фодхелпер.еке због његове способности да покрене процесе са повишеним администраторским привилегијама, без покретања промпт-а за контролу корисничког налога (УАЦ).