Малиновий Робін

Зловмисне програмне забезпечення з можливостями, подібними до хробаків, використовується в кампаніях атак, що впливають на системи Windows. Дослідники кібербезпеки відстежили загрозу та пов’язаний з нею кластер активності як Raspberry Robin та «хробак QNAP». Згідно з їхніми повідомленнями, операція Raspberry Robin була помічена ще у вересні 2021 року, але більша частина діяльності мала місце в січні 2022 року та після нього. Жертвами загрози були компанії, що працюють у технологічному та виробничому секторах, але потенційно можуть будьте також іншими. Зазначимо, що наразі цілі суб’єктів загрози не підтверджені.

Використання легальних інструментів Windows

Ланцюжок зараження Raspberry Robin починається із заражених знімних дисків, таких як USB-пристрої. Ці диски містять хробак Raspberry Robin у вигляді файлу ярлика .lnk, замаскованого під законну папку. Загроза активується після підключення пошкодженого диска до комп’ютера. Він використовує cmd.exe для читання та виконання файлу, знайденого на зараженому зовнішньому диску. Дослідники виявили, що ця команда узгоджується між різними виявленнями Raspberry Robin і може використовуватися як індикатор загрозливої діяльності, яку здійснює хробак.

У рамках своїх дій зловмисне програмне забезпечення використовує широкі переваги законних утиліт Windows. Він використовує msiexec.exe (стандартний інсталятор Microsoft) для отримання та виконання скомпрометованого файлу DLL, а також інших законних пакетів інсталятора. Вважається, що файл DLL має функціональні можливості, пов’язані з збереженням, і взятий із пошкодженого домену командно-контрольного (C2, C&C), ймовірно, розміщеного на зламаних пристроях QNAP. Вихідна активність C2, пов’язана з Raspberry Robin, також спостерігалася за допомогою процесів Windows regsvr32.exe, rundll32.exe та dllhost.exe. Спроби підключення до зовнішньої мережі були спрямовані на IP-адреси на вузлах TOR.

Raspberry Robin також змушує msiexec.exe запустити іншу справжню утиліту Window - fodhelper.exe. Загроза покладається на нього, щоб створити rundll32.exe та ініціювати загрозливу команду. Злочинець вибрав fodhelper.exe через його здатність запускати процеси з підвищеними правами адміністратора, не запускаючи запит керування обліковими записами користувачів (UAC).