Phát hiện chủng mã độc mới lạm dụng Windows Installer để triển khai hoạt động lây nhiễm

Các nhà nghiên cứu bảo mật tại Red Canary đã phát hiện ra một phần mềm độc hại Windows mới có khả năng lây lan bằng ổ USB gắn ngoài. Phần mềm độc hại này được liên kết với một nhóm tác nhân có tên Raspberry Robin, được quan sát thấy lần đầu tiên vào tháng 9 năm 2021. Hiện tại, mã độc này được tìm thấy trong hệ thống mạng hàng loạt tổ chức, doanh nghiệp toàn cầu, chủ yếu hoạt động trong các lĩnh vực công nghệ và sản xuất.

Kết quả điều tra sơ bộ từ Red Canary cho thấy Raspberry Robin có hành vi lây lan sang các hệ thống Windows mục tiêu khi ổ USB bị lây nhiễm có chứa tệp .LNK độc hại. Sau khi được đính kèm, nó sẽ tạo ra một quy trình mới bằng cách sử dụng cmd.exe để khởi chạy một tệp độc hại được lưu trữ tại chỗ.

Raspberry Robin lạm dụng Microsoft Standard Installer (msiexec.exe) để tiếp cận với các máy chủ điều khiển và kiểm soát (C2 server) của nó. Mã độc có khả năng được lưu trữ trên những thiết bị QNAP bị xâm phạm và sử dụng các nút thoát TOR làm cơ sở hạ tầng C2 bổ sung.

"Trong khi msiexec.exe tải xuống và thực thi các gói trình cài đặt hợp pháp, tác nhân độc hại cũng tận dụng nó để phân phối mã độc. Raspberry Robin sử dụng msiexec.exe để cố gắng giao tiếp mạng bên ngoài với một miền độc hại cho các mục đích điều khiển và kiểm soát", Red Canary cho biết.

Nhóm nghiên cứu nghi ngờ rằng Raspberry Robin có hành vi cài đặt tệp DLL độc hại trên các hệ thống bị xâm nhập để chống lại việc có thể bị xóa giữa các lần khởi động lại. Nó khởi chạy tệp DLL này với sự trợ giúp của 2 tiện ích Windows hợp pháp khác: fodhelper (một tệp nhị phân đáng tin cậy để quản lý các tính năng trong Settings Windows) và odbcconf (một công cụ để định cấu hình driver ODBC). fodhelper sẽ cho phép mã độc bỏ qua User Account Control (UAC), trong khi odbcconf sẽ giúp thực thi và định cấu hình DLL.

Mặc dù nhóm Red Canary đã tiến hành kiểm tra chặt chẽ trên các hệ thống bị lây nhiễm, nhưng vẫn còn một số câu hỏi cần được giải đáp.

Đầu tiên và quan trọng nhất, các nhà nghiên cứu vẫn chưa thể xác định làm thế nào hoặc ở đâu Raspberry Robin có thể lây nhiễm vào các ổ đĩa ngoài để duy trì hoạt động của nó. Mặc dù về lý thuyết, điều này có thể xảy ra trong môi trường ngoại tuyến, nhưng tỉ lệ không cao.

“Chúng tôi cũng không biết tại sao Raspberry Robin lại cài đặt một DLL độc hại” các nhà nghiên cứu Red Canary cho biết. "Một giả thuyết cho rằng đây có thể là một nỗ lực của mã độc để thiết lập sự bền bỉ trên một hệ thống bị lây nhiễm. Tuy nhiên sẽ cần thêm thông tin bổ sung xây dựng niềm tin vào giả thuyết đó".

Vì không có thông tin về các hoạt động độc hại ở giai đoạn cuối của Raspberry Robin, có thêm một câu hỏi khác cần giải đáp: Mục tiêu thực sự của những kẻ vận hành mã độc là gì”. Đây sẽ là những mệnh đề hóc búa mà các nhà nghiên cứu phải từng bước làm rõ!