Raspberry Robin wurde erstmals 2021 von Red Canary entdeckt. Er hat sich über USB-Geräte verbreitet und sich so Zugang zu befallenen PCs verschafft. Diese USB-Laufwerke enthielten bösartige LNK-Verknüpfungsdateien, die sich als Thumb Drive oder Netzwerkfreigabe tarnten. Gemäß Malwarebytes starten die Partner von Raspberry Robin die LNK-Datei über Autoruns und setzen dabei auf Social Engineering, um ihre Opfer dazu zu bringen, die Datei anzuklicken. Sobald die LNK-Datei angeklickt wird, initiiert cmd.exe den Windows-Installationsdienst msiexec.exe, der eine bösartige Payload auf infizierten QNAP-NAS-Geräten (Network-Attached Storage) installiert.
Raspberry Robin hat sich als überaus anpassungsfähig und ausgeklügelt erwiesen. Im Laufe seiner Entwicklung wandte er fortschrittlichere Methoden an, wie zum Beispiel die Verwendung von Discord zur Übermittlung bösartiger Nutzdaten und die Ausnutzung von Zero Day-Schwachstellen wie CVE-2023-36802 für die lokale Ausweitung von Berechtigungen.
Im Bericht von Check Point vom Februar 2024 wird erwähnt, dass ein jüngster Angriff von einem Archiv ausging, das als Anhang in Discord heruntergeladen wurde. Dieses Archiv enthielt eine legitime Binärdatei, die von Windows signiert war, zusammen mit einer unsignierten bösartigen DLL-Datei. Die legitime Binärdatei wurde verwendet, um die unsignierte bösartige DLL-Datei über eine Technik namens DLL-Side-Loading zu laden.
Raspberry Robin und lokale Rechte
Außerdem wird in dem Bericht erklärt, wie die Malware eine Sicherheitslücke namens CVE-2023-36802 ausnutzte, um lokale Rechte zu erweitern. Dies geschah noch bevor Microsoft und die CISA im September 2022 offiziell darauf hinwiesen, dass diese Lücke aktiv ausgenutzt wurde.
Es wird angenommen, dass die Partner von Raspberry Robin den Exploit für CVE-2023-36802 in Dark-Web-Foren gekauft haben könnten, da er bereits im Februar 2023 dort zum Verkauf angeboten wurde. Eine frühzeitige Erkennung ist entscheidend, um die potenziellen Auswirkungen der schädlichen Aktivitäten von Raspberry Robin zu minimieren. Unternehmen haben die Möglichkeit, auf SIEM-Lösungen wie Logpoint zurückzugreifen, um mit fortschrittlichen Abfragefunktionen eine weitere Ausbreitung der Malware im Netzwerk zu verhindern. Sicherheitsexperten können sie dann effektiv identifizieren und angemessen reagieren. Die Plattform ermöglicht es Security Analysten, gezielte Suchanfragen zu erstellen, um kritische Anzeichen für Bedrohungen und mögliche Infektionen durch Raspberry Robin zu erkennen.
Mehr zur technischen Analyse lesen Sie hier.
