Rouge-gorge Framboise

Un logiciel malveillant doté de capacités similaires à celles d'un ver est utilisé dans des campagnes d'attaque affectant les systèmes Windows. La menace et son groupe d'activité associé ont été suivis sous le nom de Raspberry Robin et de « ver QNAP » par des chercheurs en cybersécurité. Selon leurs rapports, l'opération Raspberry Robin a été remarquée en septembre 2021, mais la plupart de l'activité a eu lieu en janvier 2022 et après. Les victimes de la menace ont été identifiées comme des entreprises opérant dans les secteurs de la technologie et de la fabrication, mais il pourrait y avoir potentiellement être aussi les autres. Il convient de noter que, jusqu'à présent, les objectifs des acteurs de la menace n'ont pas été confirmés.

Exploitation des outils Windows légitimes

La chaîne d'infection du Raspberry Robin commence par des lecteurs amovibles infectés tels que des périphériques USB. Ces lecteurs contiennent le ver Raspberry Robin sous la forme d'un fichier de raccourci .lnk, déguisé en dossier légitime. La menace s'active après la connexion du lecteur corrompu à l'ordinateur. Il profite de cmd.exe pour lire puis exécuter un fichier trouvé sur le disque externe infecté. Les chercheurs ont découvert que cette commande est cohérente entre les différentes détections de Raspberry Robin et peut être utilisée comme indicateur des activités menaçantes menées par le ver.

Dans le cadre de ses actions, le logiciel malveillant tire largement parti des utilitaires Windows légitimes. Il exploite msiexec.exe (Microsoft Standard Installer) pour récupérer et exécuter un fichier DLL compromis, ainsi que d'autres packages d'installation légitimes. Le fichier DLL est censé avoir une fonctionnalité liée à la persistance et provient d'un domaine de commande et de contrôle (C2, C&C) corrompu, probablement hébergé sur des appareils QNAP compromis. L'activité C2 sortante attribuée à Raspberry Robin a également été observée à l'aide des processus Windows regsvr32.exe, rundll32.exe et dllhost.exe. Les tentatives de connexion au réseau externe visaient les adresses IP sur les nœuds TOR.

Le Raspberry Robin force également msiexec.exe à lancer un autre véritable utilitaire Windows - fodhelper.exe. La menace en dépend pour générer rundll32.exe et lancer une commande menaçante. L'auteur de la menace a choisi fodhelper.exe en raison de sa capacité à lancer des processus avec des privilèges d'administrateur élevés, sans déclencher une invite de contrôle de compte d'utilisateur (UAC).