Home » News » Cybersecurity » Raspberry Robin: Malware mit Wurm-Fähigkeiten

Raspberry Robin: Malware mit Wurm-Fähigkeiten

Raspberry Robin zeigt sich als sehr anpassungsfähig und schlau. Während seiner Entwicklung nutzte die Malware fortschrittliche Methoden wie Discord, um bösartige Daten zu übertragen, und sie machte sich Zero-Day-Schwachstellen wie CVE-2023-36802 zunutze, um lokale Berechtigungen zu erweitern.

1 Min. Lesezeit
Cyber-Wurm
Foto: ©AdobeStock/Florian

Raspberry Robin wurde erstmals 2021 von Red Canary entdeckt. Diese Malware verbreitete sich über USB-Geräte und gelangte so auf infizierte PCs. Die USB-Laufwerke enthielten bösartige Verknüpfungsdateien (LNK-Dateien), die sich als normale Thumb Drives oder Netzwerkfreigaben tarnten. Partner von Raspberry Robin starteten diese LNK-Dateien über Autoruns und nutzten Social Engineering, um Opfer dazu zu bringen, sie zu öffnen. Sobald die LNK-Datei geöffnet wurde, wurde der Windows-Installationsdienst (msiexec.exe) über cmd.exe gestartet, um eine schädliche Payload auf infizierten QNAP-NAS-Geräten zu installieren.

Im Februar 2024 berichtete Check Point von einem neuen Angriff, bei dem ein Archiv aus Discord heruntergeladen wurde. Dieses Archiv enthielt eine legitime, von Windows signierte Binärdatei sowie eine unsignierte bösartige DLL-Datei. Die Malware nutzte die Technik des DLL-Side-Loadings aus, indem sie die legitime Binärdatei verwendete, um die unsignierte DLL-Datei zu laden.

Der Bericht erwähnt auch, dass die Malware die Sicherheitslücke CVE-2023-36802 ausnutzte, um lokale Rechte zu erweitern, noch bevor Microsoft und CISA (Cybersecurity and Infrastructure Security Agency) offiziell vor dieser Schwachstelle warnten.

Es wird vermutet, dass die Partner von Raspberry Robin den Exploit für CVE-2023-36802 möglicherweise in Dark-Web-Foren gekauft haben, da er dort bereits im Februar 2023 angeboten wurde. Eine frühzeitige Erkennung ist entscheidend, um die potenziellen Auswirkungen der schädlichen Aktivitäten von Raspberry Robin zu minimieren. Moderne SIEM-Lösungen mit fortschrittlichen Abfragefunktionen können Unternehmen dabei helfen, die Verbreitung der Malware im Netzwerk zu stoppen. Sicherheitsexperten können gezielte Suchanfragen erstellen, um Anzeichen für Bedrohungen und mögliche Infektionen durch Raspberry Robin zu identifizieren und angemessen darauf zu reagieren.

Mehr zur technischen Analyse von Raspberry Robin gibt es hier.

Porträt Swachchhanda Shrawan Poudel

Swachchhanda Shrawan Poudel, Sicherheitsforscher bei Logpoint

Andere interessante News

Cyberattacken

Viele Cyberangriffe bleiben lange unentdeckt

Mehr als ein Fünftel (22 Prozent) der Cyberangriffe auf Unternehmen und Organisationen im vergangenen Jahr dauerten mehr als einen Monat an – dies bedeutet einen Anstieg von rund sechs Prozentpunkten gegenüber dem Vorjahr 2022. Eine aktuelle Studie belegt außerdem: Vertrauensvolle Beziehungen werden als Angriffsvektor ausgenutzt.

AI Act

EU-Mitgliedsstaaten beschließen KI-Regulierung für Europa

Die EU-Mitgliedsstaaten haben den AI Act im Ministerrat beschlossen. Nach der Veröffentlichung könnte der AI Act bereits Ende Juni oder Anfang Juli in Kraft treten. Unternehmen müssen dann bereits sechs Monate später erste Regeln befolgen.

DaaS - Desktop as a Service

Wie Device as a Service die IT-Security stärkt

Die Sicherheit am digitalen Arbeitsplatz bleibt ein zentrales Thema für IT-Entscheider. Besonders attraktiv ist dabei Device as a Service (DaaS), also die Auslagerung der Beschaffung, Bereitstellung, Verwaltung und des Austauschs von Geräten. Diese „as a Service“-Modelle tragen mit hohen Sicherheitsstandards zur aktiven und präventiven Sicherheit bei.