Hallon Robin

En skadlig programvara med maskliknande funktioner används i attackkampanjer som påverkar Windows-system. Hotet och dess associerade aktivitetskluster har spårats som Raspberry Robin och "QNAP-masken" av cybersäkerhetsforskare. Enligt deras rapporter uppmärksammades Raspberry Robin-verksamheten redan i september 2021, men det mesta av verksamheten ägde rum i och efter januari 2022. Offren för hotet har identifierats som företag verksamma inom teknik- och tillverkningssektorerna, men det kan potentiellt vara andra också. Det bör noteras att hittills har målen för hotaktörerna inte bekräftats.

Utnyttja legitima Windows-verktyg

Infektionskedjan för Raspberry Robin börjar med infekterade flyttbara enheter som USB-enheter. Dessa enheter innehåller Raspberry Robin-masken i form av en genvägs .lnk-fil, förklädd som en legitim mapp. Hotet aktiveras efter att den skadade enheten ansluts till datorn. Det utnyttjar cmd.exe för att läsa och sedan köra en fil som finns på den infekterade externa enheten. Forskarna har funnit att detta kommando överensstämmer mellan olika raspberry Robin-detektioner och kan användas som en indikator på de hotfulla aktiviteter som masken utför.

Som en del av sina åtgärder drar den skadliga programvaran stor fördel av legitima Windows-verktyg. Den utnyttjar msiexec.exe (Microsoft Standard Installer) för att hämta och köra en komprometterad DLL-fil, tillsammans med andra legitima installationspaket. DLL-filen tros ha beständighetsrelaterad funktionalitet och är hämtad från en skadad Command-and-Control-domän (C2, C&C), troligen värd på komprometterade QNAP-enheter. Den utgående C2-aktiviteten som tillskrivs Raspberry Robin har också observerats med hjälp av Windows-processerna regsvr32.exe, rundll32.exe och dllhost.exe. De externa nätverksanslutningsförsöken var inriktade på IP-adresser på TOR-noder.

Raspberry Robin tvingar också msiexec.exe att starta ett annat verkligt Windows-verktyg - fodhelper.exe. Hotet förlitar sig på att det skapar rundll32.exe och initierar ett hotfullt kommando. Hotaktören valde fodhelper.exe på grund av dess förmåga att starta processer med förhöjda administratörsbehörigheter, utan att utlösa en användarkontokontroll (UAC) prompt.