Himbeer Robin

Eine Malware mit wurmähnlichen Fähigkeiten wird in Angriffskampagnen gegen Windows-Systeme eingesetzt. Die Bedrohung und das damit verbundene Aktivitätscluster wurden von Cybersicherheitsforschern als Raspberry Robin und „QNAP-Wurm“ verfolgt. Laut ihren Berichten wurde die Raspberry Robin-Operation bereits im September 2021 bemerkt, aber die meisten Aktivitäten fanden im und nach Januar 2022 statt. Opfer der Bedrohung wurden als Unternehmen identifiziert, die im Technologie- und Fertigungssektor tätig sind, aber dies könnte möglicherweise der Fall sein auch andere sein. Es sei darauf hingewiesen, dass die Ziele der Bedrohungsakteure bisher nicht bestätigt wurden.

Nutzung legitimer Windows-Tools

Die Infektionskette des Raspberry Robin beginnt mit infizierten Wechseldatenträgern wie USB-Geräten. Diese Laufwerke enthalten den Raspberry-Robin-Wurm in Form einer .lnk-Verknüpfungsdatei, die als legitimer Ordner getarnt ist. Die Bedrohung wird aktiviert, nachdem das beschädigte Laufwerk an den Computer angeschlossen wurde. Es nutzt cmd.exe, um eine auf dem infizierten externen Laufwerk gefundene Datei zu lesen und dann auszuführen. Die Forscher haben herausgefunden, dass dieser Befehl zwischen verschiedenen Raspberry Robin-Erkennungen konsistent ist und als Indikator für die bedrohlichen Aktivitäten des Wurms verwendet werden kann.

Als Teil ihrer Aktionen nutzt die Malware legitime Windows-Dienstprogramme umfassend aus. Es nutzt msiexec.exe (Microsoft Standard Installer) aus, um neben anderen legitimen Installationspaketen eine kompromittierte DLL-Datei abzurufen und auszuführen. Es wird angenommen, dass die DLL-Datei Persistenz-bezogene Funktionalität aufweist und aus einer beschädigten Command-and-Control-Domäne (C2, C&C) stammt, die wahrscheinlich auf kompromittierten QNAP-Geräten gehostet wird. Die ausgehende C2-Aktivität, die Raspberry Robin zugeschrieben wird, wurde auch mit den Windows-Prozessen regsvr32.exe, rundll32.exe und dllhost.exe beobachtet. Die externen Netzwerkverbindungsversuche zielten auf IP-Adressen auf TOR-Knoten ab.

Der Raspberry Robin zwingt msiexec.exe auch dazu, ein weiteres echtes Windows-Dienstprogramm zu starten - fodhelper.exe. Die Bedrohung verlässt sich darauf, rundll32.exe zu erzeugen und einen bedrohlichen Befehl zu initiieren. Der Angreifer entschied sich für fodhelper.exe, da es in der Lage ist, Prozesse mit erhöhten Administratorrechten zu starten, ohne eine Eingabeaufforderung zur Benutzerkontensteuerung (UAC) auszulösen.