Xakep #305. Многошаговые SQL-инъекции
По данным аналитиков компании Cybereason, недавно обнаруженный Windows-червь Raspberry Robin использует скомпрометированные NAS компании Qnap для распространения, в качестве промежуточных звеньев для своих атак.
Напомню, что первыми вредонос Raspberry Robin заметили аналитики из Red Canary. Весной текущего года стало известно, что малварь обладает возможностями червя, распространяется с преимущественно с помощью USB-накопителей и активна как минимум с сентября 2021 года.
Интересно, что ранее исследователи признавали, что им не удалось выяснить, как именно и где Raspberry Robin заражает внешние устройства. Дело в том, что вредонос распространяется во время подключения к машине зараженного USB-накопителя, содержащего вредоносный файл .LNK. После червь запускает в системе новый процесс, используя cmd.exe для запуска вредоносного файла, хранящегося на зараженном девайсе. Предполагалось, что заражение вообще происходит в оффлайне, хотя малварь была обнаружена в сетях сотен организаций.
В новом отчете Cybereason сообщается, что, помимо USB-накопителей, Raspberry Robin распространяется еще и через файловые архивы и файлы ISO. Исследователи говорят, что процесс заражения начинается с двух файлов: ярлыка .LNK, содержащего шелл-команду Windows, а также файла .BAT.
Еще эксперты Red Canary писали, что Raspberry Robin использует msiexec.exe, чтобы подключиться к вредоносному домену из внешней сети. Как теперь уточняют исследователи Cybereason, msiexec.exe применяется для извлечения вредоносной DLL со взломанных устройств Qnap NAS.
Затем малварь внедряется в три легитимных системных процесса Windows: rundll32.exe, dllhost.exe и regsvr32.exe. Чтобы закрепиться в системе Raspberry Robin создает ключ реестра, гарантирующий, что одна и та же DLL, загруженная извне, будет внедряться в rundll32.exe при каждом старте системы.