Ahududu Robin

Windows sistemlerini etkileyen saldırı kampanyalarında solucan benzeri özelliklere sahip bir kötü amaçlı yazılım kullanılıyor. Tehdit ve ilişkili faaliyet kümesi, siber güvenlik araştırmacıları tarafından Raspberry Robin ve 'QNAP solucanı' olarak izlendi. Raporlarına göre, Raspberry Robin operasyonu Eylül 2021'de fark edildi, ancak faaliyetlerin çoğu Ocak 2022'de ve sonrasında gerçekleşti. Tehdidin kurbanları teknoloji ve imalat sektörlerinde faaliyet gösteren şirketler olarak belirlendi, ancak potansiyel olarak olabilir siz de başkaları olun. Şu ana kadar tehdit aktörlerinin hedeflerinin doğrulanmadığını belirtmek gerekir.

Meşru Windows Araçlarından Yararlanma

Raspberry Robin'in enfeksiyon zinciri, USB aygıtları gibi virüslü çıkarılabilir sürücülerle başlar. Bu sürücüler, meşru bir klasör olarak gizlenmiş bir kısayol .lnk dosyası biçiminde Raspberry Robin solucanını içerir. Tehdit, bozuk sürücü bilgisayara bağlandıktan sonra etkinleşir. Etkilenen harici sürücüde bulunan bir dosyayı okumak ve ardından yürütmek için cmd.exe'den yararlanır. Araştırmacılar, bu komutun farklı Raspberry Robin algılamaları arasında tutarlı olduğunu ve solucan tarafından yürütülen tehdit edici faaliyetlerin bir göstergesi olarak kullanılabileceğini buldular.

Kötü amaçlı yazılım, eylemlerinin bir parçası olarak yasal Windows yardımcı programlarından kapsamlı bir şekilde yararlanır. Diğer yasal yükleyici paketlerinin yanı sıra güvenliği ihlal edilmiş bir DLL dosyasını almak ve yürütmek için msiexec.exe'yi (Microsoft Standard Installer) kullanır. DLL dosyasının kalıcılıkla ilgili işlevselliğe sahip olduğuna ve muhtemelen güvenliği ihlal edilmiş QNAP cihazlarında barındırılan bozuk bir Komuta ve Kontrol (C2, C&C) etki alanından alındığına inanılıyor. Raspberry Robin'e atfedilen giden C2 etkinliği, Windows işlemleri regsvr32.exe, rundll32.exe ve dllhost.exe kullanılarak da gözlemlenmiştir. Harici ağ bağlantısı girişimleri, TOR düğümlerindeki IP adreslerine yönelikti.

Ahududu Robin ayrıca msiexec.exe'yi başka bir gerçek Pencere yardımcı programı olan fodhelper.exe'yi başlatmaya zorlar. Tehdit, rundll32.exe dosyasını ortaya çıkarmak ve tehdit edici bir komut başlatmak için ona dayanır. Tehdit aktörü, Kullanıcı Hesabı Denetimi (UAC) istemini tetiklemeden işlemleri yükseltilmiş yönetici ayrıcalıklarıyla başlatma yeteneği nedeniyle fodhelper.exe'yi seçti.