Microsoft a identificat worm-ul Raspberry Robin în sute de rețele Windows
Compania Microsoft a identificat recent un worm în cadrul rețelelor a sute de organizații din diverse sectoare industriale. Malware-ul, numit Raspberry Robin, se răspândește prin intermediul unităților amovibile infectate și a fost observat pentru prima oară în septembrie 2021 de către specialiștii companiei de securitate Red Canary.
Codul malițios utilizează Windows Installer pentru a ajunge la domeniile asociate QNAP și pentru a descărca un DLL malițios. Malware-ul folosește noduri de ieșire TOR ca infrastructură C2 (command & control) de rezervă.
Deși Microsoft a observat că malware-ul se conectează la adrese din rețeaua Tor, se pare că atacatorii încă nu au exploatat accesul obținut la rețelele victimelor. Acest lucru se întâmplă în ciuda faptului că aceștia ar putea escalada cu ușurință atacurile, dat fiind că malware-ul poate ocoli mecanismul User Account Control (UAC) pe sistemele infectate folosind instrumente Windows legitime.
Așa cum a fost menționat anterior, Raspberry Robin se răspândește prin intermediul unităților USB infectate care conțin un fișier .LNK malițios. Odată ce dispozitivul USB este atașat și utilizatorul accesează link-ul, worm-ul generează un proces de tip msiexec folosind cmd.exe pentru a lansa un fișier malițios stocat pe unitatea infectată.
Fișierul infectează noul dispozitiv Windows, comunică cu serverele de comandă și control (C2) și execută payload-uri malițioase utilizând diferite utilitare Windows legitime precum:
- Fodhelper (un binar pentru managementul caracteristicilor din setările Windows);
- Msiexec (componenta Windows Installer în linie de comandă);
- Odbcconf (un instrument pentru configurarea driverelor ODBC);
Specialiștii care au observat Raspberry Robin încă nu au atribuit malware-ul unui grup de amenințări și analizează în continuare scopul acestuia. Cu toate acestea, compania Microsoft a etichetat această campanie ca fiind de mare risc, având în vedere că atacatorii ar putea descărca și implementa programe malware suplimentare în rețelele victimelor și ar putea escalada privilegiile acestora în orice moment.
Sursa: https://securityaffairs.co/wordpress/132826/malware/microsoft-raspberry-robin-spreading.html https://www.bleepingcomputer.com/news/security/microsoft-finds-raspberry-robin-worm-in-hundreds-of-windows-networks/
