Egyelőre nem tiszta, hogy mi a támadók célja, mivel települése után a féreg várakozó állapotba helyezi magát.

A Red Canary kutatói fedezték fel még 2021 szeptemberében a Raspberry Robin nevű kártevőt, mely a QNAP márkájú tajvani gyártó külső adattárolóin terjed. A féreg-képességekkel felvértezett kártevővel kapcsolatos támadói terveket nem igazán fejtették meg.

A fertőzött adattárolókat technológiai és gyártásban tevékenykedő vállalatoknál figyelték meg, de azt még nem tárták fel, hogy az érintett cégek között van-e valamilyen kapcsolódási pont. Azt sem tudják pontosan, hogy a féreg hogyan került eredetileg az adattárolókra.

Így működik

A fertőzött adattárolón egy férget helyeztek el, melyet egy legitim mappára mutató .LNK parancsikonnak álcáztak. Amikor az UBS-s merevlemezt egy Windows operációs rendszerű géphez csatlakoztatnak, a féreg aktiválja magát. A cmd.exe beolvassa és futtatja az eszközön tárolt kártevőt, majd a msiexec.exe megpróbál csatlakozni egy rövid URL-hez – gyakran a QNAP céggel kapcsolatos ez a webcím.

Ha ez a kapcsolat sikeres, akkor egy fertőzött .dll fájlt tölt le és telepít. Ehhez a Windows operációs rendszer legitim alkalmazásait használja a féreg, mint a fodhelper.exe, rundll32.exe és odbcconf.exe – ezek segítségével a felhasználói fiók ellenőrzését (User Account Control) is megkerüli. Majd a támadók külső szerverével kommunikál a regsvr32.exe, rundll32.exe és dllhost.exe folyamatokat felhasználva.

Nem ismertek a célok

Ezután a kártevő pihen, és várja a további parancsokat, de hogy pontosan milyen céljai vannak a támadóknak, nem tudni. Feltehetően állandó jelenlétüket alapozzák meg a féreg segítségével, és hosszasan szeretnének kémkedni az adott vállalatok után.

Az USB-s eszközök segítségével terjedő fenyegetettségekről 2021 decemberében írtunk blogunkon egy hosszabb, elemző cikket. Majd egy hónappal később, 2022 januárjában az FBI olyan támadásokra figyelmeztetett, amelyeket mérgezett USB meghajtók segítségével indítottak.