Forskare varnar för skadlig kod “Raspberry Robin” som sprids via externa enheter

Forskare varnar för skadlig kod

Cybersäkerhetsforskare har upptäckt en ny Windows-skadlig programvara med maskliknande funktioner och som sprids via flyttbara USB-enheter.

“Tillskriva skadlig programvara till ett kluster som heter”Hallon Robin“Red Canary Researcher noterade att masken “drar fördel av Windows Installer för att komma åt domäner associerade med QNAP och ladda ner skadliga DLL-filer.”

Tidiga tecken på aktivitet rapporteras senast i september 2021, vilket har sett en övergång i organisationer som tillhör teknik- och tillverkningssektorerna.

Attackkedjan relaterad till Raspberry Robin börjar med att ansluta en infekterad USB-enhet till en Windows-maskin. Inuti enheten finns maskens nyttolast, som visas som en .lnk-genvägsfil i en giltig mapp.

Masken tar sedan hand om att skapa en ny process med cmd.exe för att läsa och köra en skadlig fil lagrad på den externa enheten.

Sedan startas explorer.exe och msiexec.exe, varav den senare används för kommando-och-kontroll (C2) för extern nätverkskommunikation och för att ladda ner och installera en DLL-biblioteksfil. Är.

Den skadliga DLL-filen laddas och körs sedan med en rad legitima Windows-verktyg som fodhelper.exe, rundll32.exe till rundll32.exe och odbcconf.exe, vilket effektivt kringgår användarkontokontroll (UAC).

Också vanligt i Raspberry Robin-detektering är närvaron av utgående C2-kontakter som innehåller IP-adresserna för Tor-noder som är associerade med processerna regsvr32.exe, rundll32.exe och dllhost.exe.

Som sagt, operatörernas motiv förblir obesvarade i detta skede. Det är också oklart hur och var externa enheter är infekterade, även om man misstänker att detta har gjorts offline.

“Vi vet inte ens varför Raspberry Robin installerar en skadlig DLL,” sa forskarna. “En hypotes är att det kan vara ett försök att etablera persistens på ett infekterat system.”