రాస్ప్బెర్రీ రాబిన్

విండోస్ సిస్టమ్‌లను ప్రభావితం చేసే దాడి ప్రచారాలలో వార్మ్ లాంటి సామర్థ్యాలతో కూడిన మాల్వేర్ ఉపయోగించబడుతోంది. సైబర్‌ సెక్యూరిటీ పరిశోధకులచే రాస్‌ప్‌బెర్రీ రాబిన్ మరియు 'QNAP వార్మ్'గా ముప్పు మరియు దాని అనుబంధ క్లస్టర్‌లు ట్రాక్ చేయబడ్డాయి. వారి నివేదికల ప్రకారం, రాస్ప్బెర్రీ రాబిన్ ఆపరేషన్ సెప్టెంబర్ 2021లో తిరిగి గుర్తించబడింది, అయితే చాలా వరకు కార్యకలాపాలు జనవరి 2022లో మరియు తరువాత జరిగాయి. ముప్పు బాధితులు సాంకేతికత మరియు తయారీ రంగాలలో పనిచేస్తున్న కంపెనీలుగా గుర్తించబడ్డాయి, అయితే సంభావ్యంగా ఉండవచ్చు ఇతరులు కూడా ఉండండి. ఇప్పటివరకు, బెదిరింపు నటుల లక్ష్యాలు నిర్ధారించబడలేదని గమనించాలి.

చట్టబద్ధమైన విండోస్ సాధనాలను ఉపయోగించడం

రాస్ప్బెర్రీ రాబిన్ యొక్క ఇన్ఫెక్షన్ చైన్ USB పరికరాల వంటి సోకిన తొలగించగల డ్రైవ్‌లతో ప్రారంభమవుతుంది. ఈ డ్రైవ్‌లు సత్వరమార్గం .lnk ఫైల్ రూపంలో రాస్ప్‌బెర్రీ రాబిన్ వార్మ్‌ను కలిగి ఉంటాయి, చట్టబద్ధమైన ఫోల్డర్‌గా మారువేషంలో ఉంటాయి. పాడైన డ్రైవ్ కంప్యూటర్‌కు కనెక్ట్ చేయబడిన తర్వాత ముప్పు సక్రియం అవుతుంది. సోకిన బాహ్య డ్రైవ్‌లో కనుగొనబడిన ఫైల్‌ను చదివి, ఆపై అమలు చేయడానికి ఇది cmd.exe ప్రయోజనాన్ని తీసుకుంటుంది. వివిధ రాస్ప్బెర్రీ రాబిన్ డిటెక్షన్ల మధ్య ఈ కమాండ్ స్థిరంగా ఉందని పరిశోధకులు కనుగొన్నారు మరియు వార్మ్ ద్వారా జరిగే బెదిరింపు కార్యకలాపాలకు సూచికగా ఉపయోగించవచ్చు.

దాని చర్యలలో భాగంగా, మాల్వేర్ చట్టబద్ధమైన Windows యుటిలిటీల యొక్క విస్తృత ప్రయోజనాన్ని పొందుతుంది. ఇది ఇతర చట్టబద్ధమైన ఇన్‌స్టాలర్ ప్యాకేజీలతో పాటు, రాజీపడిన DLL ఫైల్‌ను పొందేందుకు మరియు అమలు చేయడానికి msiexec.exe (మైక్రోసాఫ్ట్ స్టాండర్డ్ ఇన్‌స్టాలర్)ని ఉపయోగించుకుంటుంది. DLL ఫైల్ నిలకడ-సంబంధిత ఫంక్షనాలిటీని కలిగి ఉందని నమ్ముతారు మరియు ఇది పాడైపోయిన కమాండ్-అండ్-కంట్రోల్ (C2, C&C) డొమైన్ నుండి తీసుకోబడింది, ఇది రాజీపడిన QNAP పరికరాలలో హోస్ట్ చేయబడి ఉండవచ్చు. రాస్ప్‌బెర్రీ రాబిన్‌కు ఆపాదించబడిన అవుట్‌బౌండ్ C2 కార్యాచరణ కూడా విండోస్ ప్రాసెస్‌లు regsvr32.exe, rundll32.exe మరియు dllhost.exe ఉపయోగించి గమనించబడింది. బాహ్య నెట్‌వర్క్ కనెక్షన్ ప్రయత్నాలు TOR నోడ్‌లలోని IP చిరునామాలను లక్ష్యంగా చేసుకున్నాయి.

రాస్ప్బెర్రీ రాబిన్ msiexec.exeని మరొక నిజమైన విండో యుటిలిటీని ప్రారంభించమని బలవంతం చేస్తుంది - fodhelper.exe. rundll32.exeని సృష్టించడానికి మరియు బెదిరింపు ఆదేశాన్ని ప్రారంభించడానికి ముప్పు దానిపై ఆధారపడి ఉంటుంది. వినియోగదారు ఖాతా నియంత్రణ (UAC) ప్రాంప్ట్‌ను ట్రిగ్గర్ చేయకుండా, ఎలివేటెడ్ అడ్మిన్ అధికారాలతో ప్రాసెస్‌లను ప్రారంభించగల సామర్థ్యం కారణంగా ముప్పు నటుడు fodhelper.exeని ఎంచుకున్నాడు.