ราสเบอร์รี่โรบิน

มัลแวร์ที่มีความสามารถเหมือนเวิร์มกำลังถูกใช้ในแคมเปญโจมตีที่ส่งผลต่อระบบ Windows ภัยคุกคามและกลุ่มกิจกรรมที่เกี่ยวข้องได้รับการติดตามในฐานะ Raspberry Robin และ 'หนอน QNAP' โดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ ตามรายงานของพวกเขา การดำเนินการของ Raspberry Robin ถูกสังเกตย้อนกลับไปในเดือนกันยายน 2021 แต่กิจกรรมส่วนใหญ่เกิดขึ้นในและหลังเดือนมกราคม 2022 ผู้ที่ตกเป็นเหยื่อของภัยคุกคามได้รับการระบุว่าเป็นบริษัทที่ดำเนินงานในภาคเทคโนโลยีและการผลิต แต่อาจมี เป็นคนอื่นเช่นกัน ควรสังเกตว่า จนถึงขณะนี้ เป้าหมายของผู้คุกคามยังไม่ได้รับการยืนยัน

การใช้ประโยชน์จากเครื่องมือ Windows ที่ถูกต้องตามกฎหมาย

ห่วงโซ่การติดเชื้อของ Raspberry Robin เริ่มต้นด้วยไดรฟ์ที่ถอดออกได้ที่ติดไวรัส เช่น อุปกรณ์ USB ไดรฟ์เหล่านี้มีเวิร์ม Raspberry Robin ในรูปแบบของไฟล์ทางลัด .lnk ซึ่งปลอมแปลงเป็นโฟลเดอร์ที่ถูกต้อง ภัยคุกคามจะเปิดใช้งานหลังจากไดรฟ์ที่เสียหายเชื่อมต่อกับคอมพิวเตอร์ ใช้ประโยชน์จาก cmd.exe เพื่ออ่านและเรียกใช้ไฟล์ที่พบในไดรฟ์ภายนอกที่ติดไวรัส นักวิจัยพบว่าคำสั่งนี้สอดคล้องกันระหว่างการตรวจจับ Raspberry Robin ต่างๆ และสามารถใช้เป็นตัวบ่งชี้ถึงกิจกรรมที่คุกคามโดยเวิร์ม

เป็นส่วนหนึ่งของการกระทำ มัลแวร์ใช้ประโยชน์จากยูทิลิตี้ Windows ที่ถูกต้องตามกฎหมายอย่างกว้างขวาง มันหาประโยชน์จาก msiexec.exe (Microsoft Standard Installer) เพื่อดึงและเรียกใช้ไฟล์ DLL ที่ถูกบุกรุก ควบคู่ไปกับแพ็คเกจตัวติดตั้งที่ถูกต้องตามกฎหมายอื่นๆ เชื่อว่าไฟล์ DLL มีฟังก์ชันที่เกี่ยวข้องกับการคงอยู่ และนำมาจากโดเมน Command-and-Control (C2, C&C) ที่เสียหาย ซึ่งน่าจะโฮสต์บนอุปกรณ์ QNAP ที่ถูกบุกรุก กิจกรรม C2 ขาออกที่เกิดจาก Raspberry Robin ยังได้รับการสังเกตโดยใช้กระบวนการ Windows regsvr32.exe, rundll32.exe และ dllhost.exe ความพยายามในการเชื่อมต่อเครือข่ายภายนอกมุ่งเป้าไปที่ที่อยู่ IP บนโหนด TOR

Raspberry Robin ยังบังคับให้ msiexec.exe เปิดตัวยูทิลิตี้ Window จริงอีกตัวหนึ่ง - fodhelper.exe ภัยคุกคามอาศัยมันเพื่อวางไข่ rundll32.exe และเริ่มคำสั่งคุกคาม ผู้คุกคามเลือก fodhelper.exe เนื่องจากความสามารถในการเปิดกระบวนการด้วยสิทธิ์ของผู้ดูแลระบบที่ยกระดับ โดยไม่เรียกใช้พรอมต์การควบคุมบัญชีผู้ใช้ (UAC)