ラズベリーロビン

ワームのような機能を備えたマルウェアが、Windowsシステムに影響を与える攻撃キャンペーンで使用されています。脅威とそれに関連する一連の活動は、サイバーセキュリティ研究者によってRaspberryRobinおよび「QNAPワーム」として追跡されています。彼らの報告によると、ラズベリーロビンの作戦は2021年9月に気づかれましたが、活動のほとんどは2022年1月以降に行われました。脅威の犠牲者はテクノロジーおよび製造業で活動している企業として特定されていますが、他の人にもなります。これまでのところ、脅威アクターの目標は確認されていないことに注意してください。

正規のWindowsツールを利用する

Raspberry Robinの感染チェーンは、USBデバイスなどの感染したリムーバブルドライブから始まります。これらのドライブには、正規のフォルダを装ったショートカット.lnkファイルの形式でRaspberryRobinワームが含まれています。破損したドライブがコンピューターに接続された後、脅威がアクティブになります。 cmd.exeを利用して、感染した外付けドライブで見つかったファイルを読み取って実行します。研究者は、このコマンドがさまざまなRaspberry Robin検出間で一貫しており、ワームによって実行される脅威的な活動の指標として使用できることを発見しました。

そのアクションの一部として、マルウェアは正規のWindowsユーティリティを広範囲に利用します。 msiexec.exe（Microsoft Standard Installer）を悪用して、他の正当なインストーラーパッケージとともに、侵害されたDLLファイルをフェッチして実行します。 DLLファイルには永続性関連の機能があると考えられており、破損したCommand-and-Control（C2、C＆C）ドメインから取得され、侵害されたQNAPデバイスでホストされている可能性があります。 Raspberry Robinに起因するアウトバウンドC2アクティビティは、Windowsプロセスのzippy32.exe、rundll32.exe、およびdllhost.exeを使用して観察されています。外部ネットワーク接続の試みは、TORノードのIPアドレスを対象としていました。

Raspberry Robinはまた、msiexec.exeに別の実際のウィンドウユーティリティであるfodhelper.exeを起動させます。脅威は、rundll32.exeを生成し、脅迫コマンドを開始するためにそれに依存しています。攻撃者は、ユーザーアカウント制御（UAC）プロンプトをトリガーせずに、昇格された管理者権限でプロセスを起動できるため、fodhelper.exeを選択しました。