ラズベリーロビンマルウェア

2021年後半から、新たに詳細な脅威が発生しています。このマルウェアにはワームのような機能があり、RaspberryRobinと呼ばれています。

Raspberry Robinは、ワーム可能なマルウェアとして分類されます。ワーム可能な脅威には、人間が直接制御したり介入したりすることなく拡散できる機能があります。

脅威は、セキュリティ会社RedCanaryIntelligenceの研究者によって調査および分析されました。 Raspberry Robinは、2021年の秋に最初に発見されました。このマルウェアは、USBフラッシュメモリドライブを使用して、Windowsベースのマシンを拡散および感染させます。 Raspberry Robinは、Microsoft Standard Installer .msiファイルおよびその他の有効で正当なプロセスを使用して、悪意のあるファイルをターゲットシステムにドロップします。

被害者のシステムに配備されると、Raspberry Robinはmsiexecコマンドを使用してインフラストラクチャに接続し、被害者のデバイスとユーザー名を送信します。ワームのようなマルウェアは、侵入先のシステムに悪意のあるDLLもインストールします。

ラズベリーロビンを取り巻くいくつかの未回答の質問がまだあります。研究者は、ワームがキャリアとして使用するフラッシュドライブにどの程度正確に伝播するか、そしてこれがオフラインで発生するかどうかを確信していません。ドロップされた悪意のあるDLLファイルの目的も定かではありませんが、研究者はそれがホストマシンでの永続性を確立するために使用されていると疑っています。

研究者はマルウェアの活動の後の段階でマルウェアの活動を調査および監視することができなかったため、RaspberryRobinのインフラストラクチャを実行している攻撃者の最終目標も明確ではありません。

ワームは、感染したフラッシュドライブに.lnkショートカットを仕掛けます。これは、通常のフォルダのように見えます。 Raspberry Robinは、Windowsコマンドラインツールcmd.exeを使用して、USBフラッシュドライブに保存されているファイルを実行しました。マルウェアのもう1つの特徴は、コマンドのスペルに大文字と小文字が混在していることです。これは、自動検出を回避するためのさらなる試みである可能性があります。

マルウェアはmsiexecとrundll32を使用して悪意のあるコマンドを実行します。これらは、上記の悪意のあるDLLファイルを起動してさらに構成するために使用されます。