Raspberry Robin kötü amaçlı yazılım, araştırmacıları karıştırmak için sahte bir yük bırakarak ve kum havuzları ve hata ayıklama araçları içinde çalıştırıldığını tespit ettiğinde algılamadan kaçınarak elini hilelerde deniyor.
Bu yeni taktik, Raspberry Robin'i telekomünikasyon hizmet sağlayıcılarına ve hükümet sistemlerine yönelik son saldırılarda gözlemleyen trend mikro araştırmacılar tarafından keşfedildi.
Raspberry Robin, uzlaşmış ağlara fidye yazılımı çetelerine ve kötü amaçlı yazılım operatörlerine ilk erişim satan solucan benzeri bir kötü amaçlı yazılım damlasıdır. Daha önce Fin11 ve klop çetesinin yanı sıra Bumblebee, Icedid ve Truebot yük dağılımı ile ilişkilendirilmişti.
Kötü amaçlı yazılım, hedeflenen sistemlere, eklendiğinde ve dahil edildiğinde cihaza kötü amaçlı yazılımla enfekte eden kötü amaçlı USB sürücüleri aracılığıyla ulaşır.
Kısayol yürütüldüğünde, ahududu robin yüklerini yükleyen kötü amaçlı bir MSI yükleyicisini indirmek için meşru 'msiexec.exe' Windows yürütülebilir dosyasını kötüye kullanır.
Kötü amaçlı yazılım, kodunu antivirüs programlarından ve güvenlik araştırmacılarından gizlemek için ağır bir şekilde gizlenmiştir, bir sonrakini şifresini çözmek için sert kodlanmış değerler içeren birden fazla katmana sahiptir.
Bununla birlikte, güvenlik araştırmacılarının kötü amaçlı yazılımları analiz etmesini daha da zorlaştırmak için, Raspberry Robin bir cihazda nasıl çalıştırıldığına bağlı olarak iki farklı yük bırakmaya başladı.
Kötü amaçlı yazılım, bir kum havuzunun içinde çalıştığını tespit ederse, muhtemelen analiz edildiğini belirtir, yükleyici sahte bir yük düşürür. Aksi takdirde, gerçek Raspberry Robin kötü amaçlı yazılımını başlatır.
Bu sahte yük, iki ek katmana sahiptir, gömülü PE dosyasına sahip bir kabuk kodu ve MZ başlığı ve PE imzası kaldırılmış bir PE dosyası bulunur.
Yürütme üzerine, enfeksiyon belirteçlerini bulmak için Windows kayıt defterini okumaya çalışır ve daha sonra temel sistem bilgilerini toplamaya devam eder.
Ardından, sahte yük, analisti bunun son yük olduğuna inanmak için kandırmak için 'BrowserAssistant' adlı bir reklam yazılımını indirmeye ve yürütmeye çalışır.
Bununla birlikte, geçerli sistemlerde, dahili iletişim için gömülü bir özel TOR istemcisine sahip olan gerçek ahududu robin kötü amaçlı yazılım yükü yüklenir.
Yük hilesi ile bile, gerçek yük on tabakalı gizleme ile doludur ve analiz edilmesini önemli ölçüde zorlaştırır.
Başlatıldıktan sonra, kullanıcının yönetici olup olmadığını kontrol eder ve eğer değilse, idari ayrıcalıklar elde etmek için 'UACME'de UCMDCCWComMethod' ayrıcalık artış tekniğini kullanır.
Kötü amaçlı yazılım ayrıca, her bir vaka için iki farklı yöntem kullanarak yeniden başlatmalar arasında kalıcılık için kayıt defterini değiştirir (yönetici olsun ya da değil).
Trend Micro, "Kendisinin bir kopyasını bıraktıktan sonra, bir UAC (Kullanıcı Hesabı Kontrolü) bypass tekniğini kullanarak düşürülen kopyayı yönetici olarak yürütüyor."
"UACMe'deki UCMDCCWComMethod tekniğinin bir varyasyonunu uygular, böylece yerleşik Windows Autoelevate arka kapısını kötüye kullanır."
Hazır yazılım hazırlandıktan sonra, sabit kodlu TOR adreslerine bağlanmaya çalışır ve operatörleriyle bir bilgi değişim kanalı oluşturur.
TOR istemci işlemi, 'dllhost.exe', 'regsvr32.exe' ve 'Rundll32.exe' gibi standart Windows sistem dosyalarını taklit eden adları kullanır.
Özellikle, ana rutin, yalnızca kullanıcı etkileşimine ihtiyaç duymayan veya olmayan hizmetler ve uygulamalar için ayrılmış özel bir Windows oturumu olan oturum 0'da çalışır.
Enfeksiyon sürecinin bir parçası olarak, Raspberry Robin, daha ileri sistemleri enfekte etmek için ekli USB sürücülerine de kopyalayacaktır.
Trend Micro'nun analistleri, Raspberry Robin'in TTP'lerine (taktikler, teknikler ve prosedürler) son eklemelerin Lockbit ile benzerlikler taşıdığını, böylece iki projenin bir bağlantısı olabilir.
İki ana benzerlik, ayrıcalık artışı için ICM kalibrasyon tekniğini ve anti-debugging için 'Treadhidefromdebugger' aracını kullanıyor.
Bu bulgular dikkate değer olmasına rağmen, ikisi arasındaki bağlantının kanıtını oluşturmazlar, ancak gelecekteki araştırmalarda kıstas olarak hizmet edebilirler.
Sonuç olarak, Trend Micro, mevcut Raspberry Robin kampanyasının, gerçek saldırılardaki ilk adımdan ziyade yeni mekanizmaların etkinliğini değerlendirmek için bir keşif çabası olduğunu söylüyor.
Microsoft, Raspberry Robin solucanını fidye yazılımı saldırılarına bağlar
Zerobot kötü amaçlı yazılım artık Apache güvenlik açıklarından yararlanarak yayılıyor
FBI, kötü amaçlı yazılımları iten arama motoru reklamlarını uyarıyor, kimlik avı
Godfather Android kötü amaçlı yazılım 400 bankayı hedefliyor, kripto borsaları
Virustotal hile sayfası belirli sonuçları aramanızı kolaylaştırır
Kaynak: Bleeping Computer