Araştırmacılar, güvenliği ihlal edilmiş bir harici sabit sürücü aracılığıyla Windows PC'lere bulaşan nispeten yeni bir solucan keşfettiler. Birkaç aydır orada kalmalarına ve nasıl çalıştığını bilmelerine rağmen, oyunun sonundan emin değiller. Operasyonunun sinsi doğasının yanı sıra, son aşamadaki görevleri hala bilinmiyor.
Red Canary analistleri, harici USB sürücüler aracılığıyla yayılan bir solucan kullanan bir dizi kötü amaçlı yazılım faaliyeti ifşa etti. Kötü amaçlı yazılım, siber istihbarat firması Sekoia'nın Kasım 2021'de tanımladığı "QNAP solucanını" kullanıyor. Ancak Red Canary, bazı teknoloji ve üretim müşterilerinin ağlarında bunu tespit etti ve Eylül ayından beri Raspberry Robin kod adı altında izledi.
Raspberry Robin, kullanıcılar virüslü bir USB sürücüsünü bilgisayarlarına bağladığında yayılır. Bir LNK dosyası olarak gizlenen solucan, daha sonra kötü amaçlı bir dosya başlatmak için Windows cmd.exe'yi kullanır. Daha sonra komut ve kontrol (C2) sunucularına (genellikle savunmasız QNAP cihazları) bağlanmak için Microsoft Standard Installer'ı (msiexec.exe) kullanır. Ardından izlerini kapatmak için TOR çıkış düğümlerini kullanır.
Red Canary, Raspberry Robin'in C2 sunucularından kötü amaçlı bir DLL dosyası yükleyerek kalıcılık oluşturduğundan şüpheleniyor. Kötü amaçlı yazılım daha sonra Windows'ta bulunan iki yardımcı programı kullanarak DLL'yi başlatır: fodhelper (bir Windows ayar yöneticisi) ve obdcconf (bir ODBC sürücü yapılandırma aracı). İlki Kullanıcı Hesabı Denetimini atlar ve ikincisi DLL'yi çalıştırır ve yapılandırır.
Ancak araştırmacılar, bunun sadece çalışan bir hipotez olduğunu kabul ediyor. DLL'lerin ne yaptığını tam olarak bilmiyorlar ve USB sürücülere nasıl yayıldığını da çözemediler.
Red Canary, "Her şeyden önce, Raspberry Robin'in etkinliğini sürdürmek için harici sürücülere nasıl ve nerede bulaştığını bilmiyoruz, ancak bu muhtemelen çevrimdışı veya görünürlüğümüzün dışında gerçekleşiyor" dedi. "Ahududu Robin'in neden kötü amaçlı bir DLL yüklediğini de bilmiyoruz."
QNAP solucanının nihai amacının ne olduğu da belli değil. Nasıl çalıştığı dışında, araştırmacılar operatörlere fayda sağlayacak herhangi bir "geç aşama etkinliği" görmediler.
Yorum yapabilmek için giriş yapmalısınız.