Raspberry Robin

Ang isang malware na may mga kakayahan na tulad ng worm ay ginagamit sa mga kampanya ng pag-atake na nakakaapekto sa mga system ng Windows. Ang banta at ang nauugnay nitong kumpol ng aktibidad ay nasubaybayan bilang Raspberry Robin at 'QNAP worm' ng mga mananaliksik sa cybersecurity. Ayon sa kanilang mga ulat, napansin ang operasyon ng Raspberry Robin noong Setyembre 2021, ngunit ang karamihan sa aktibidad ay naganap noong at pagkatapos ng Enero 2022. Ang mga biktima ng banta ay natukoy bilang mga kumpanyang tumatakbo sa sektor ng teknolohiya at pagmamanupaktura, ngunit may potensyal na maging sa iba rin. Dapat pansinin na, sa ngayon, ang mga layunin ng mga aktor ng pagbabanta ay hindi pa nakumpirma.

Pagsasamantala sa Mga Lehitimong Tool sa Windows

Ang chain ng impeksyon ng Raspberry Robin ay nagsisimula sa mga nahawaang naaalis na drive tulad ng mga USB device. Ang mga drive na ito ay naglalaman ng Raspberry Robin worm sa anyo ng isang shortcut na .lnk file, na itinago bilang isang lehitimong folder. Nag-a-activate ang banta pagkatapos na maikonekta ang sirang drive sa computer. Sinasamantala ang cmd.exe upang basahin at pagkatapos ay magsagawa ng isang file na matatagpuan sa nahawaang panlabas na drive. Natuklasan ng mga mananaliksik na ang utos na ito ay pare-pareho sa pagitan ng iba't ibang mga pagtuklas ng Raspberry Robin, at maaaring gamitin bilang isang tagapagpahiwatig ng mga aktibidad na nagbabanta na isinasagawa ng uod.

Bilang bahagi ng mga aksyon nito, malawak na sinasamantala ng malware ang mga lehitimong Windows utilities. Sinasamantala nito ang msiexec.exe (Microsoft Standard Installer) upang kunin at isagawa ang isang nakompromisong DLL file, kasama ng iba pang mga lehitimong installer package. Ang DLL file ay pinaniniwalaan na may pag-andar na nauugnay sa pagtitiyaga at kinuha mula sa isang sirang Command-and-Control (C2, C&C) na domain, na malamang na naka-host sa mga nakompromisong QNAP device. Ang palabas na aktibidad ng C2 na nauugnay sa Raspberry Robin ay naobserbahan din gamit ang mga proseso ng Windows na regsvr32.exe, rundll32.exe at dllhost.exe. Ang mga pagtatangka ng koneksyon sa panlabas na network ay naglalayon sa mga IP address sa mga TOR node.

Pinipilit din ng Raspberry Robin ang msiexec.exe na maglunsad ng isa pang tunay na utility sa Window - fodhelper.exe. Ang banta ay umaasa dito upang ipanganak ang rundll32.exe at magpasimula ng isang nagbabantang utos. Pinili ng threat actor ang fodhelper.exe dahil sa kakayahang maglunsad ng mga proseso na may mataas na mga pribilehiyo ng admin, nang hindi nagti-trigger ng prompt ng User Account Control (UAC).