کرم جدید در Windows Installer

کرم جدید در Windows Installer

کرم جدید Raspberry Robin از Windows Installer برای وارد کردن بدافزار به سیستم استفاده می کند.

کرم جدید Raspberry Robin از Windows Installer برای وارد کردن بدافزار به سیستم استفاده می کند. محققان امنیتی Red Canary یک بدافزار ویندوزی جدید که داری قابلیت های کرم سایبری است کشف کرده اند که میتواند با استفاده از USB یا هارد دیسک های external خود را منتشر کند. این بدافزار به مجموعه ای از فعالیت های سایبری مخرب به نام Raspberry Robin مرتبط است که اولین بار در سپتامبر 2021 مشاهده شد. شرکت امنیت سایبری Sekoia این بدافزار را کرم QNAP یا QNAP worm نامیده است.

تیم مهندسی تشخیص Red Canary این کرم را در شبکه‌های متعددی از مشتریان ایشان، و در بخش های فناوری و تولیدی شناسایی کردند. هنگامی که یک درایو USB آلوده حاوی یک فایل .LNK مخرب متصل می شود، Raspberry Robin به باقی سیستم های ویندوزی که با سیستم آلوده در ارتباط باشند، گسترش می یابد.
پس از اتصال، کرم یک اسکریپت جدیدی را با استفاده از cmd.exe ایجاد و اجرا می کند تا فایل مخرب ذخیره شده در درایو آلوده را اجرا کند.

سو استفاده از ابزارهای قانونی ویندوز برای نصب بدافزار

Microsoft Standard Installer (msiexec.exe) برای دسترسی به سرورهای فرمان و کنترل (Command and Control (C2)) خود استفاده می کند که احتمالاً روی دستگاه های QNAP میزبانی می شوند، و از TOR به عنوان زیرساخت اضافی استفاده می کنند. محققان اعلام کرده اند: "در حالی که msiexec.exe بسته های نصب کننده قانونی را دانلود و اجرا می کند، هکران از آن برای نصب بدافزار استفاده می کنند.Raspberry Robin از msiexec.exe برای برقراری ارتباط با یک شبکه خارجی با یک دامنه غیرقانونی به عنوان C2 استفاده می کند." در حالی که آنها هنوز متوجه نشده اند که این بدافزار از چه روش هایی پایداری ایجاد می کند، اما مشکوک هستند که بدافزار یک فایل DLL آلوده و مخرب را روی ماشین های در معرض خطر نصب می کند تا در برابر حذف بدافزار و راه اندازی مجدد مقاومت کند.
Raspberry Robin این DLL را با کمک دو ابزار قانونی دیگر ویندوز راه اندازی می کند:
Fodhelper : یک فایل باینری برای مدیریت ویژگی ها در تنظیمات ویندوز و odbcconf ، ابزاری برای پیکربندی درایورهای ODBC. 
اولی به آن اجازه می دهد تا UAC را دور بزند، و ابزار دوم به اجرا و پیکربندی DLL کمک می کند.


 Raspberry Robin worm

چگونه و چرا؟

در حالی که تحلیلگران Red Canary توانسته اند از نزدیک آنچه را که کشف شده بر روی سیستم های آلوده مجددا تست و بررسی کنند، هنوز چندین سوال وجود دارد که باید به آنها پاسخ داده شود.
"اول و مهمتر از همه، ما نمی دانیم که Raspberry Robin چگونه یا کجا درایوهای خارجی را آلوده می کند تا فعالیت خود را تداوم بخشد، اگرچه به احتمال زیاد این اتفاق به صورت آفلاین یا خارج از محدوده تحت کنترل شبکه رخ می دهد. دوم اینکه همچنان مشخص نیست چرا Raspberry Robin یک DLL مخرب نصب می کند. "یک فرضیه این است که ممکن است تلاشی برای ایجاد پایداری در یک سیستم آلوده باشد، اگرچه اطلاعات بیشتری برای ایجاد اطمینان در این فرضیه مورد نیاز است."
از آنجایی که هیچ اطلاعاتی در مورد کارهای تخریب گرایانه این بدافزار وجود ندارد، سوال دیگری که نیاز به پاسخ دارد این است که هدف اپراتورهای Raspberry Robin چیست. اطلاعات فنی بیشتر در مورد کرم Raspberry Robin، از جمله شاخص‌های به خطر افتادن (IOC) و ATT&CK این بدافزار را می‌توانید در
گزارش Red Canary پیدا کنید.

منبع : www.bleepingcomputer.com