Egyelőre nem tiszta, hogy mi a támadók célja, mivel települése után a féreg várakozó állapotba helyezi magát.
A Red Canary kutatói fedezték fel még 2021 szeptemberében a Raspberry Robin nevű kártevőt, mely a QNAP márkájú tajvani gyártó külső adattárolóin terjed. A féreg-képességekkel felvértezett kártevővel kapcsolatos támadói terveket nem igazán fejtették meg.
A fertőzött adattárolókat technológiai és gyártásban tevékenykedő vállalatoknál figyelték meg, de azt még nem tárták fel, hogy az érintett cégek között van-e valamilyen kapcsolódási pont. Azt sem tudják pontosan, hogy a féreg hogyan került eredetileg az adattárolókra.
Így működik
A fertőzött adattárolón egy férget helyeztek el, melyet egy legitim mappára mutató .LNK parancsikonnak álcáztak. Amikor az UBS-s merevlemezt egy Windows operációs rendszerű géphez csatlakoztatnak, a féreg aktiválja magát. A cmd.exe beolvassa és futtatja az eszközön tárolt kártevőt, majd a msiexec.exe megpróbál csatlakozni egy rövid URL-hez – gyakran a QNAP céggel kapcsolatos ez a webcím.
Ha ez a kapcsolat sikeres, akkor egy fertőzött .dll fájlt tölt le és telepít. Ehhez a Windows operációs rendszer legitim alkalmazásait használja a féreg, mint a fodhelper.exe, rundll32.exe és odbcconf.exe – ezek segítségével a felhasználói fiók ellenőrzését (User Account Control) is megkerüli. Majd a támadók külső szerverével kommunikál a regsvr32.exe, rundll32.exe és dllhost.exe folyamatokat felhasználva.
Nem ismertek a célok
Ezután a kártevő pihen, és várja a további parancsokat, de hogy pontosan milyen céljai vannak a támadóknak, nem tudni. Feltehetően állandó jelenlétüket alapozzák meg a féreg segítségével, és hosszasan szeretnének kémkedni az adott vállalatok után.
Az USB-s eszközök segítségével terjedő fenyegetettségekről 2021 decemberében írtunk blogunkon egy hosszabb, elemző cikket. Majd egy hónappal később, 2022 januárjában az FBI olyan támadásokra figyelmeztetett, amelyeket mérgezett USB meghajtók segítségével indítottak.
