ராஸ்பெர்ரி ராபின்
விண்டோஸ் சிஸ்டங்களைப் பாதிக்கும் தாக்குதல் பிரச்சாரங்களில் புழு போன்ற திறன்களைக் கொண்ட தீம்பொருள் பயன்படுத்தப்படுகிறது. அச்சுறுத்தல் மற்றும் அதனுடன் தொடர்புடைய செயல்பாடுகள் ராஸ்பெர்ரி ராபின் மற்றும் 'QNAP வார்ம்' என இணைய பாதுகாப்பு ஆராய்ச்சியாளர்களால் கண்காணிக்கப்பட்டது. அவர்களின் அறிக்கைகளின்படி, ராஸ்பெர்ரி ராபின் செயல்பாடு செப்டம்பர் 2021 இல் மீண்டும் கவனிக்கப்பட்டது, ஆனால் பெரும்பாலான செயல்பாடுகள் ஜனவரி 2022 இல் மற்றும் அதற்குப் பிறகு நடந்தன. அச்சுறுத்தலால் பாதிக்கப்பட்டவர்கள் தொழில்நுட்பம் மற்றும் உற்பத்தித் துறைகளில் செயல்படும் நிறுவனங்களாக அடையாளம் காணப்பட்டுள்ளனர், ஆனால் சாத்தியமானதாக இருக்கலாம். மற்றவர்களாகவும் இருங்கள். இதுவரை, அச்சுறுத்தல் நடிகர்களின் இலக்குகள் உறுதிப்படுத்தப்படவில்லை என்பதை கவனத்தில் கொள்ள வேண்டும்.
முறையான விண்டோஸ் கருவிகளைப் பயன்படுத்துதல்
ராஸ்பெர்ரி ராபினின் தொற்று சங்கிலி USB சாதனங்கள் போன்ற பாதிக்கப்பட்ட நீக்கக்கூடிய டிரைவ்களுடன் தொடங்குகிறது. இந்த டிரைவ்களில் ராஸ்பெர்ரி ராபின் வார்ம் ஒரு ஷார்ட்கட் .lnk கோப்பின் வடிவத்தில் உள்ளது, இது முறையான கோப்புறையாக மாறுவேடமிடப்பட்டது. சிதைந்த இயக்கி கணினியுடன் இணைக்கப்பட்ட பிறகு அச்சுறுத்தல் செயல்படுத்தப்படுகிறது. பாதிக்கப்பட்ட வெளிப்புற இயக்ககத்தில் காணப்படும் கோப்பைப் படித்து பின்னர் செயல்படுத்துவதற்கு cmd.exe ஐப் பயன்படுத்துகிறது. இந்த கட்டளை பல்வேறு ராஸ்பெர்ரி ராபின் கண்டறிதல்களுக்கு இடையில் ஒத்துப்போவதாக ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர், மேலும் புழுவால் மேற்கொள்ளப்படும் அச்சுறுத்தும் நடவடிக்கைகளின் குறிகாட்டியாக இதைப் பயன்படுத்தலாம்.
அதன் செயல்களின் ஒரு பகுதியாக, மால்வேர் முறையான விண்டோஸ் பயன்பாடுகளை அதிக அளவில் பயன்படுத்திக் கொள்கிறது. இது msiexec.exe (மைக்ரோசாப்ட் ஸ்டாண்டர்ட் இன்ஸ்டாலர்) பயன்படுத்தி, சமரசம் செய்யப்பட்ட DLL கோப்பைப் பெற்று, மற்ற முறையான நிறுவி தொகுப்புகளுடன் சேர்த்து செயல்படுத்துகிறது. DLL கோப்பு நிலைத்தன்மை தொடர்பான செயல்பாட்டைக் கொண்டிருப்பதாக நம்பப்படுகிறது மற்றும் சிதைந்த கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) டொமைனில் இருந்து எடுக்கப்பட்டது, இது சமரசம் செய்யப்பட்ட QNAP சாதனங்களில் ஹோஸ்ட் செய்யப்பட்டிருக்கலாம். ராஸ்பெர்ரி ராபினுக்குக் கூறப்படும் வெளிச்செல்லும் C2 செயல்பாடும் விண்டோஸ் செயல்முறைகளான regsvr32.exe, rundll32.exe மற்றும் dllhost.exe ஆகியவற்றைப் பயன்படுத்திக் காணப்பட்டது. வெளிப்புற நெட்வொர்க் இணைப்பு முயற்சிகள் TOR முனைகளில் உள்ள IP முகவரிகளை இலக்காகக் கொண்டது.
ராஸ்பெர்ரி ராபின் msiexec.exe ஐ மற்றொரு உண்மையான சாளர பயன்பாட்டை - fodhelper.exe ஐத் தொடங்க கட்டாயப்படுத்துகிறது. அச்சுறுத்தல் rundll32.exe ஐ உருவாக்க மற்றும் அச்சுறுத்தும் கட்டளையைத் தொடங்க அதை நம்பியுள்ளது. பயனர் கணக்குக் கட்டுப்பாடு (UAC) ப்ராம்ட்டைத் தூண்டாமல், உயர்ந்த நிர்வாகச் சலுகைகளுடன் செயல்முறைகளைத் தொடங்கும் திறன் காரணமாக அச்சுறுத்தல் நடிகர் fodhelper.exe ஐத் தேர்ந்தெடுத்தார்.
