Η Microsoft βρίσκει το worm Raspberry Robin σε εκατοντάδες δίκτυα Windows

Η Microsoft αναφέρει τον εντοπισμό ενός Windows Worm στα δίκτυα εκατοντάδων οργανισμών από διάφορους κλάδους της βιομηχανίας. Το κακόβουλο λογισμικό, που ονομάζεται Raspberry Robin, εξαπλώνεται μέσω μολυσμένων συσκευών USB και εντοπίστηκε για πρώτη φορά τον Σεπτέμβριο του 2021 από αναλυτές πληροφοριών της εταιρίας Red Canary.

Η εταιρεία κυβερνοασφάλειας Sekoia το παρατήρησε επίσης χρησιμοποιώντας συσκευές QNAP NAS ως διακομιστές εντολών και ελέγχου (C2) στις αρχές Νοεμβρίου [PDF], ενώ η Microsoft είπε ότι βρήκε κακόβουλα τεχνουργήματα που συνδέονται με αυτό το worm που δημιουργήθηκε το 2019.

Τα ευρήματα αυτά ευθυγραμμίζονται με εκείνα της ομάδας Red Canary's Detection Engineering, η οποία εντόπισε επίσης αυτό το σκουλήκι σε δίκτυα πολλών πελατών της, ορισμένοι από αυτούς στον τομέα της τεχνολογίας και της κατασκευής.

Αν και η Microsoft παρατήρησε το κακόβουλο λογισμικό που συνδέεται με διευθύνσεις στο δίκτυο Tor, οι φορείς απειλών δεν έχουν ακόμη εκμεταλλευτεί την πρόσβαση που απέκτησαν στα δίκτυα των θυμάτων τους. Αυτό συμβαίνει παρά το γεγονός ότι θα μπορούσαν εύκολα να κλιμακώσουν τις επιθέσεις τους, δεδομένου ότι το κακόβουλο λογισμικό μπορεί να παρακάμψει τον Έλεγχο λογαριασμού χρήστη (UAC) σε μολυσμένα συστήματα χρησιμοποιώντας νόμιμα εργαλεία των Windows.

Η Microsoft μοιράστηκε αυτές τις πληροφορίες σε μια σχετική συζήτηση για το θέμα, η οποία προβλήθηκε από το BleepingComputer.com

Όπως ήδη αναφέρθηκε, το Raspberry Robin εξαπλώνεται σε νέα συστήματα Windows μέσω μολυσμένων μονάδων USB που περιέχουν ένα κακόβουλο αρχείο .LNK.

Μόλις συνδεθεί η συσκευή USB και ο χρήστης κάνει κλικ στη σύνδεση, ο ιός τύπου worm δημιουργεί μια διαδικασία msiexec χρησιμοποιώντας το cmd.exe για να εκκινήσει ένα κακόβουλο αρχείο που είναι αποθηκευμένο στη μολυσμένη μονάδα δίσκου.

Μολύνει νέες συσκευές Windows, επικοινωνεί με τους διακομιστές εντολών και ελέγχου (C2) και δρά χρησιμοποιώντας διάφορα νόμιμα βοηθητικά προγράμματα των Windows:

• fodhelper (ένα αξιόπιστο binary αρχείο για τη διαχείριση λειτουργιών στις ρυθμίσεις των Windows),
• msiexec (Windows Installer γραμμής εντολών),
• και odbcconf (ένα εργαλείο για τη ρύθμιση των προγραμμάτων οδήγησης ODBC).

"Ενώ το msiexec.exe κατεβάζει και εκτελεί νόμιμα πακέτα προγραμμάτων εγκατάστασης, οι κακόβουλοι χρήστες το χρησιμοποιούν για να παραδώσουν κακόβουλο λογισμικό", εξήγησαν οι ερευνητές του Red Canary. "Το Raspberry Robin χρησιμοποιεί το msiexec.exe για να επιχειρήσει επικοινωνία εξωτερικού δικτύου σε έναν κακόβουλο τομέα για επικοινωνία με τους διακομιστές εντολών και ελέγχου."

Οι ερευνητές ασφαλείας που εντόπισαν το Raspberry Robin δεν έχουν ακόμη αποδώσει το κακόβουλο λογισμικό σε μια συγκεκριμένη ομάδα  και εξακολουθούν να εργάζονται για να βρουν τον τελικό στόχο των χειριστών του.

Ωστόσο, η Microsoft έχει επισημάνει αυτήν την καμπάνια ως υψηλού κινδύνου, δεδομένου ότι οι εισβολείς μπορούσαν να κατεβάσουν και να αναπτύξουν επιπλέον κακόβουλο λογισμικό στα δίκτυα των θυμάτων και να πάρουν τον έλεγχο ανά πάσα στιγμή.