Raspberry Robin: Nova kampanja
Raspberry Robin je Windows zlonamjerni softver koji je prvi put identifikovan krajem 2021. godine, evoluirao je u značajnu prijetnju za korisnike i poslovne organizacije. Prvobitno poznat po širenju putem prenosivih medija kao što su USB diskovi, sada koristi različite vektore infekcije za ciljanje tehnoloških i proizvodnih sektora, dok njegove teške tehnike zamagljivanja čine otkrivanje izazovnim.
RASPBERRY ROBIN
Raspberry Robin je vrsta zlonamjernog softvera poznata po svojim tehnikama zamagljivanja kôda i antianalize za izbjegavanje otkrivanja, zavaravanje izolovanih okruženja (eng. sandboxes) i usporavanje bezbjednosnih timova koji žele da razumiju zlonamjerni softver. Nakon infekcije uređaja, on komunicira sa svojim komandnim i kontrolnim (C2) serverima preko Tor mreže.
Raspberry Robin djeluje kao uporište za zlonamjerne aktere da isporuče druge zlonamjerne datoteke preuzimanjem i izvršavanjem dodatnih korisnih tovara (eng. payloads). Često se koristi za ubacivanje drugih vrsta zlonamjernog softvera kao što su SocGholish, Cobalt Strike, IcedID, BumbleBee i Truebot na inficirane uređaje. Ovi zlonamjerni softveri mogu da ukradu lozinke i osjetljive finansijske podatke ili zaraze računare ransomware zlonamjernim softverom. Skripte koje koristi Raspberry Robin su veoma zamagljene i koriste niz tehnika protiv analize da bi izbjegle otkrivanje.
Istorijski gledano, poznato je da se Raspberry Robin širi putem prenosivih medija kao što su USB diskovi, ali njegovi distributeri takođe eksperimentišu i sa drugim početnim tipovima datoteka za infekciju.
Nova kampanja
Zlonamjerni akteri sada koriste Windows Script Files (WSF) kao novi metod za distribuciju zlonamjernog softvera Raspberry Robin. WSF obično koriste IT administratori i legitimni softveri za automatizaciju zadataka u okviru Windows operativnog sistema, ali ih takođe mogu zloupotrebiti zlonamjerni akteri. U ovoj najnovijoj kampanji, zlonamjerni akteri su dijelili zlonamjerne WSF datoteke preko različitih domena i poddomena pod njihovom kontrolom. Datoteka skripte djeluje kao program za preuzimanje i koristi tehnike antianalize i otkrivanja virtuelnih mašina kako bi izbjegla otkrivanje. Nejasno je kako se korisnici namamljuju na zlonamjerne URL adrese, ali to može biti putem neželjene pošte ili kampanja zlonamjernog oglašavanja.
WSF program za preuzimanje je dio zlonamjernog softvera dizajniran da zaobiđe određene bezbjednosne mjere, posebno one koje se odnose na broj verzije operativnog sistema Windows i određene antivirusne procese. On konfiguriše pravila isključivanja Microsoft Defender Antivirus softvera da bi se izbjeglo otkrivanje tokom skeniranja. Sam program za preuzimanje je u velikoj mjeri zamagljen i koristi različite tehnike antianalize da bi izbjegao otkrivanje i usporio analizu.
Zlonamjerni akteri koji stoje iza Raspberry Robin zlonamjernog softvera su poznati po tome što koriste ranjivosti prvog dana za povećanje privilegija i poboljšavaju izbjegavanje anti-emulacije ili izolovanog okruženja korištenjem VDLL provjera. Jednom u sistemu, WSF program za preuzimanje može da preuzme i izvrši dodatne korisne sadržaje, djelujući kao posrednik za inicijalni pristup (eng. Initial Access Broker – IAB) ili ubacivač za druge porodice zlonamjernog softvera.
ZAKLJUČAK
Raspberry Robin je sofisticirani učitavač zlonamjernog softvera koji koriste zlonamjerni akteri za razne zlonamjerne svrhe kao što je isporuka ransomware zlonamjernog softvera i drugih zlonamjernih korisnih tovara. Komponenta WSF program za preuzimanje ove porodice zlonamjernog softvera je u velikoj mjeri zamagljena i koristi napredne tehnike da izbjegne otkrivanje, što je čini izazovnim za bezbjednosne timove koji pokušavaj da se suprotstave njegovom širenju.
Raspberry Robin je primijećen da koristi različite vektore infekcije kao što su USB diskovi i internet preuzimanja, a poznato je da iskorišćava ranjivosti prvog dana za eskalaciju privilegija. Zlonamjerni softver takođe može da zaobiđe određene antivirusne procese i izbjegne izolovana okruženja korištenjem VDLL provjera. S obzirom na njegovu sposobnost da djeluje kao posrednik za početni pristup (IAB) ili ubacivač za druge porodice zlonamjernog softvera, Raspberry Robin predstavlja značajnu prijetnju za organizacije i trebalo bi da se smatra visokim prioritetom za bezbjednosne timove.
ZAŠTITA
Kako bi zaštitili svoje sisteme od zlonamjernog softvera Raspberry Robin, korisnici i poslovne organizacije moraju primijeniti višeslojni pristup koji se bavi različitim vektorima infekcije i tehnikama koje koriste zlonamjerni akteri. Evo nekoliko preporučenih koraka:
- Održavati softver ažurnim na način da su svi operativni sistemi, aplikacije i bezbjednosna rješenja ažurirani najnovijim ispravkama i izdanjima. Ovo pomaže u zaštiti od poznatih ranjivosti koje Raspberry Robin ili sličan zlonamjerni softver može da iskoristi,
- Koristiti renomirani antivirusni softver za otkrivanje i uklanjanje svih potencijalnih prijetnji, uključujući WSF datoteke i druge početne vektore infekcije koje koristi Raspberry Robin. Redovno ažurirati definicije kako bi se osigurala maksimalna zaštita od novih prijetnji,
- Sprovesti snažnu politiku kontrole pristupa uz ograničavanje privilegija korisnika i primjenu stroge kontrole pristupa za osjetljive podatke i sisteme. Ovo može pomoći u sprečavanju neovlaštenih korisnika da preuzimaju ili izvršavaju zlonamjerne datoteke, kao što su WSF datoteke,
- Uraditi edukaciju zaposlenih o phishing napadima, jer zlonamjerni akteri često koriste neželjenu elektronsku poštu i lažno oglašavanje da distribuiraju Raspberry Robin i druge prijetnje. Obučiti zaposlene kako da identifikuju i prijave sumnjive elektronske poruke, veze i priloge,
- Koristiti rješenje za filtriranje internet saobraćaja koje blokira pristup poznatim zlonamjernim domenima i poddomenima koji skladište WSF datoteke koje se koriste u ovoj kampanji. Ovo može da spriječi korisnike da nenamjerno preuzimaju zaražene datoteke,
- Podesiti bezbjednosna rješenja da blokiraju ili ograničavaju izvršavanje datoteka Windows skripti (WSF) osim ako nisu pouzdani izvori. Ovo može da spriječi da Raspberry Robin i druge prijetnje zasnovane na WSF datotekama zaraze sisteme,
- Vršiti nadgledanja mrežnog saobraćaja implementacijom rješenja za praćenje mrežnog saobraćaja koje otkriva i upozorava na bilo koju neuobičajenu aktivnost, kao što je veliki obim odlaznog saobraćaja ka poznatim zlonamjernim domenima ili poddomenima. Ovo može pomoći da se rano identifikuju potencijalne infekcije i preduzmu odgovarajuće mjere,
- Pošto Raspberry Robin vrši komunikaciju sa svojim serverima za komandu i kontrolu preko Tor mreže, razmisliti o korišćenju alatke za Tor blokiranje kako bi se spriječili da sistemi pristupe ovoj usluzi anonimnosti. Ovo može pomoći u smanjenju rizika od Raspberry Robin infekcije i drugim zlonamjernim softverom koji koriste slične metode komunikacije,
- Koristiti rješenja za bezbjednost krajnjih tačaka kao što su softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) ili sistemi za sprečavanje upada na osnovu hosta (eng. Host-based Intrusion Prevention Systems – HIPS) za nadgledanje krajnjih tačka u potrazi za sumnjivim aktivnostima, kao što su pokušaji preuzimanja ili izvršavanja WSF datoteka ili drugih početnih vektora infekcije koje koristi Raspberry Robin,
- Redovno praviti rezervne kopije podataka uz korištenje snažne i pouzdane strategije pravljenja rezervnih kopija za zaštitu od ransomware napada, koji se često isporučuju preko Raspberry Robin zlonamjernog softvera i sličnih porodica zlonamjernog softvera. Ovo može pomoći da se minimizira uticaj bilo kog uspješnog napada na operacije i integritet podataka organizacije.