Der Raspberry Robin Wurm wird seit mindestens September 2022 für Angriffe auf Telekommunikations- und Behördensysteme in Lateinamerika, Australien und Europa eingesetzt.
„Die Hauptnutzlast selbst ist mit mehr als 10 Verschleierungsschichten versehen und kann eine gefälschte Nutzlast ausliefern, sobald sie Sandboxing- und Sicherheitsanalysetools erkennt“, so Trend Micro Forscher Christopher So in einer am Dienstag veröffentlichten technischen Analyse.
Ein Großteil der Infektionen wurde in Argentinien entdeckt, gefolgt von Australien, Mexiko, Kroatien, Italien, Brasilien, Frankreich, Indien und Kolumbien.
Raspberry Robin, das einem von Microsoft als DEV-0856 verfolgten Aktivitätscluster zugeordnet wird, wird zunehmend von verschiedenen Bedrohungsakteuren als erster Zugangsmechanismus genutzt, um Nutzdaten wie LockBit und Clop Ransomware zu verbreiten.
Die Malware ist dafür bekannt, dass sie infizierte USB-Laufwerke als Verbreitungsvektor nutzt, um eine betrügerische MSI-Installationsdatei herunterzuladen, die die Hauptnutzlast enthält, die für die Erleichterung der Post-Exploitation verantwortlich ist.
Eine weitere Analyse von Raspberry Robin zeigt, dass die Malware stark verschleiert ist, um eine Analyse zu verhindern, und aus zwei Nutzdaten besteht, die in einen sechsmal gepackten Nutzdatenlader eingebettet sind.
Der Payload-Loader ist seinerseits so programmiert, dass er den Decoy-Payload, eine Adware namens BrowserAssistant, lädt, um die Entdeckungsbemühungen abzuschwächen.
Sollte keine Sandbox und keine Analyse beobachtet werden, wird die legitime Nutzlast installiert und verbindet sich mit einer fest kodierten .onion-Adresse, in die ein benutzerdefinierter TOR-Client eingebettet ist, um auf weitere Befehle zu warten.
Der TOR-Client-Prozess tarnt sich als legitime Windows-Prozesse wie dllhost.exe, regsvr32.exe und rundll32.exe und unterstreicht damit einmal mehr die erheblichen Anstrengungen des Bedrohungsakteurs, unter dem Radar zu bleiben.
Darüber hinaus wird die eigentliche Routine der Malware in Session 0 ausgeführt, einer speziellen Windows-Sitzung, die für Dienste und andere nicht-interaktive Benutzeranwendungen reserviert ist, um Sicherheitsrisiken wie Shatter-Attacken zu minimieren.
Trend Micro hat nach eigenen Angaben Ähnlichkeiten in einer Privilegienerweiterung und einer Anti-Debugging-Technik gefunden, die von Raspberry Robin und der LockBit Ransomware verwendet werden, was auf eine mögliche Verbindung zwischen den beiden kriminellen Akteuren hindeutet.
„Die Gruppe, die hinter Raspberry Robin steckt, ist der Hersteller einiger der Tools, die auch LockBit verwendet“, vermutet das Unternehmen und fügt hinzu, dass sie „die Dienste des Partners in Anspruch genommen hat, der für die von LockBit verwendeten Techniken verantwortlich ist“.
Allerdings scheint es sich bei den Angriffen um eine Erkundungsaktion zu handeln, da keine Daten von der TOR-Domäne zurückgegeben werden, was darauf hindeutet, dass die Gruppe hinter der Malware „das Wasser testet, um zu sehen, wie weit sich ihre Einsätze ausbreiten können“.