Raspberry Robin: Malware mit Wurm-Fähigkeiten
Raspberry Robin zeigt sich als sehr anpassungsfähig und schlau. Während seiner Entwicklung nutzte die Malware fortschrittliche Methoden wie Discord, um bösartige Daten zu übertragen, und sie machte sich Zero-Day-Schwachstellen wie CVE-2023-36802 zunutze, um lokale Berechtigungen zu erweitern.
Raspberry Robin wurde erstmals 2021 von Red Canary entdeckt. Diese Malware verbreitete sich über USB-Geräte und gelangte so auf infizierte PCs. Die USB-Laufwerke enthielten bösartige Verknüpfungsdateien (LNK-Dateien), die sich als normale Thumb Drives oder Netzwerkfreigaben tarnten. Partner von Raspberry Robin starteten diese LNK-Dateien über Autoruns und nutzten Social Engineering, um Opfer dazu zu bringen, sie zu öffnen. Sobald die LNK-Datei geöffnet wurde, wurde der Windows-Installationsdienst (msiexec.exe) über cmd.exe gestartet, um eine schädliche Payload auf infizierten QNAP-NAS-Geräten zu installieren.
Im Februar 2024 berichtete Check Point von einem neuen Angriff, bei dem ein Archiv aus Discord heruntergeladen wurde. Dieses Archiv enthielt eine legitime, von Windows signierte Binärdatei sowie eine unsignierte bösartige DLL-Datei. Die Malware nutzte die Technik des DLL-Side-Loadings aus, indem sie die legitime Binärdatei verwendete, um die unsignierte DLL-Datei zu laden.
Der Bericht erwähnt auch, dass die Malware die Sicherheitslücke CVE-2023-36802 ausnutzte, um lokale Rechte zu erweitern, noch bevor Microsoft und CISA (Cybersecurity and Infrastructure Security Agency) offiziell vor dieser Schwachstelle warnten.
Es wird vermutet, dass die Partner von Raspberry Robin den Exploit für CVE-2023-36802 möglicherweise in Dark-Web-Foren gekauft haben, da er dort bereits im Februar 2023 angeboten wurde. Eine frühzeitige Erkennung ist entscheidend, um die potenziellen Auswirkungen der schädlichen Aktivitäten von Raspberry Robin zu minimieren. Moderne SIEM-Lösungen mit fortschrittlichen Abfragefunktionen können Unternehmen dabei helfen, die Verbreitung der Malware im Netzwerk zu stoppen. Sicherheitsexperten können gezielte Suchanfragen erstellen, um Anzeichen für Bedrohungen und mögliche Infektionen durch Raspberry Robin zu identifizieren und angemessen darauf zu reagieren.
Mehr zur technischen Analyse von Raspberry Robin gibt es hier.
Swachchhanda Shrawan Poudel, Sicherheitsforscher bei Logpoint