Red Canary’den siber güvenlik araştırmacıları tarafından keşfedilen bir Windows solucanı olan Raspberry Robin, çıkarılabilir USB aygıtları aracılığıyla yayılan kötü amaçlı bir yazılımdır.
Kötü amaçlı kod, QNAP ile ilişkili domainlere ulaşmak ve kötü amaçlı bir DLL dosyasını indirmek için Windows Installer’ı kullanır. Kötü amaçlı yazılım, bir yedek C2 altyapısı olarak TOR çıkış düğümlerini kullanır.
Kötü amaçlı yazılım ilk olarak Eylül 2021’de tespit edildi, uzmanlar Raspberry Robin’in teknoloji ve üretim sektörlerindeki kuruluşları hedef aldığını gözlemledi. İlk erişim, genellikle USB aygıtları olmak üzere, virüslü çıkarılabilir sürücüler aracılığıyla yapıldı.
Analizlere göre; “Raspberry Robin, genellikle USB aygıtları olmak üzere virüslü çıkarılabilir sürücüler aracılığıyla yayılır. Raspberry Robin solucanı genellikle, virüslü USB aygıtında meşru bir klasör gibi görünen bir kısayol .lnk dosyası olarak görünür. Raspberry Robin virüslü sürücü sisteme bağlandıktan kısa bir süre sonra, UserAssist kayıt defteri girişi güncellenir ve şifresi çözüldüğünde bir .lnk dosyasına atıfta bulunan ROT13 şifreli bir değerin yürütülmesini kaydeder. Aşağıdaki örnekte, q:\erpbirel.yax şifresini d:\recovery.lnk olarak çözer.”
Kötü amaçlı yazılım, virüs bulaşmış harici sürücüde depolanan bir dosyayı okumak ve yürütmek için cmd.exe’yi kullanır, bir DLL kitaplık dosyasını indirmek ve yüklemek için C2 olarak kullanılan sahte bir domaine harici ağ iletişimi için msiexec.exe’den yararlanır.
Ardından msiexec.exe meşru bir Windows yardımcı programı olan fodhelper.exe’yi başlatır ve bu da kötü amaçlı bir komut yürütmek için rundll32.exe’yi çalıştırır. Uzmanlar, fodhelper.exe tarafından başlatılan işlemlerin, Kullanıcı Hesabı Denetimi istemi gerektirmeden yükseltilmiş yönetici ayrıcalıklarıyla çalıştığına dikkat çekti.
Araştırmacılara göre, bir üst işlem olarak fodhelper.exe’yi aramakla tehdidi tespit etmek mümkündür.
Microsoft, tehdidin teknoloji ve üretim sektörlerindeki kuruluşlar da dahil olmak üzere birden fazla müşterinin ağlarında keşfedildiğini doğruladı.
BleepingComputer, Microsoft’un Endpoint aboneleri için Microsoft Defender’a gönderilen özel bir tehdit istihbaratı danışmanlığı aracılığıyla müşterilerini uyardığını bildirdi.
BT devleri, Raspberry Robin’in, tehdit aktörleri tarafından hedef ağlarda bir giriş noktası olarak kullanılabileceği ve ek kötü amaçlı yükleri düşürmek için kullanılabileceği için kuruluşlar için yüksek bir risk oluşturduğuna inanıyor.