Raspberry Robin je zloćudni kod koji se širi putem zaraženih USB uređaja, iskorištavajući Windows Installer za preuzimanje i izvršavanje malicioznih datoteka na zaraženim računalima. Napad obično započinje kada korisnik priključi USB uređaj u svoje računalo, nakon čega se pomoću LNK datoteka pokreću zlonamjerne izvršne datoteke. Nakon što dođe do infekcije, Raspberry Robin može preuzeti dodatne zlonamjerne DLL datoteke koje omogućuju napadaču daljnju kontrolu i izvršavanje C2 aktivnosti (Command and Control, [8]), uključujući daljnje širenje crva i krađu podataka.

Raspberry Robin uočen je 2022. u napadima povezanim s drugim malicioznim kampanjama, kao što su SocGholish, BumbleBee, Cobalt Strike i IcedID. Ovaj je crv izrazito sofisticiran te se, prema izvještaju tvrtke Red Canary, u 2023. nalazio među 10 najčešćih kibernetičkih prijetnji [5].

Crvi su jedna od najstarijih, ali i dalje vrlo opasnih vrsta zlonamjernog softvera u računalnim sustavima. Za razliku od mnogih drugih oblika malicioznih programa, crvi imaju sposobnost samostalnog širenja bez potrebe za ljudskom intervencijom, što ih čini posebno opasnima. Njihova glavna značajka je sposobnost brzog putovanja kroz mreže i uređaje, što omogućuje zarazu velikog broja uređaja u kratkom vremenu.

Ove vrste zloćudnog koda uglavnom koriste različite ranjivosti u računalnim sustavima kako bi omogućile daljnju distribuciju ili instalaciju drugih zlonamjernih programa. Crvi mogu uzrokovati ogromne financijske gubitke organizacijama, poremetiti rad sustava, narušiti sigurnost podataka te omogućiti napadačima daljnji pristup mreži ili čak preuzimanje kontrole nad sustavom. Njihova prisutnost u sustavima često prolazi neopaženo sve dok šteta nije već učinjena, što dodatno otežava zaštitu protiv njih.

Jedan od novijih primjera ovakvog malwarea je Raspberry Robin, crv koji se ističe specifičnim načinom širenja. Raspberry Robin prvi je put uočen 2021. godine zahvaljujući tvrtki za kibernetičku sigurnost Red Canary. Raspberry Robin koristi vanjske uređaje poput USB diskova za širenje te iskorištava Windows Installer za preuzimanje zlonamjernih datoteka na zaraženim računalima. Opasnost ovog malwarea prepoznata je vrlo brzo nakon njegove detekcije stoga je već 2023. godine bio uvršten na popis najvećih prijetnji računalnoj sigurnosti, na visokom sedmom mjestu.

U posljednjim godinama primijećeno je smanjenje broja zaraza Raspberry Robinom, no on i dalje predstavlja ozbiljan izvor prijetnji računalnoj sigurnosti te se smatra aktivnom prijetnjom, posebno zbog toga što nastavlja evoluirati i prilagođavati svoje metode širenja. Iako je u početku bio uglavnom vezan uz USB diskove, Raspberry Robin se sada širi i drugačijim metodama, poput rar i 7-zip arhiva (posebice na Discordu) te wsf (Windows Script Files) datoteka.

Za razliku od nekih drugih zloćudnih softvera, meta Raspberry Robina nisu isključivo osobna računala, već tehnološka industrija, javna uprava, financije, proizvodnja itd., gdje je zabilježen značajan broj napada.

Infekcija računalnog sustava Raspberry Robin crvom (slika 1.) u većini slučajeva započinje kada korisnik priključi zaraženi USB uređaj na svoje računalo (kao što je već spomenuto, novije verzije uključuju i preuzimanje zaraženih rar i 7-zip arhiva s interneta). Na temelju povratnih informacija žrtava, primijećeno je da su najčešći izvor zaraze USB-ovi koji su prethodno korišteni u tiskarama i poštanskim centrima. Zloćudna datoteka koja se nalazi na USB-u redovito ima naziv proizvođača USB diska, kako bi privukla žrtvu da ju pokrene. S druge strane, postoje i verzije u kojima se zloćudni kod automatski pokreće.

Nakon što se zaraženi USB uređaj poveže s računalom, izvršna datoteka Command Prompta (cmd.exe) prima naredbu da pročita i izvrši nasumično nazvanu datoteku, koja ima nasumičnu ekstenziju duljine dva do tri slova (.usb, ico, .lnk, .bin, .sv, , .lo.) (slika 1.). Naredba je obično oblika: cmd /R < zloćudna_datoteka

Zloćudna datoteka je najčešće LNK datoteka. LNK datoteke u operacijskom sustavu Windows predstavljaju linkove na druge izvršne datoteke te im je izvorna namjena stvaranje desktop prečaca. U slučaju ovog napada, LNK datoteka pokazuje na izvršnu datoteku Windows Installera (msiexec.exe). Izvršavanjem datoteke pokreće se zloćudna verzija Windows Installera, a činjenica da je pokrenuta zloćudna verzija može se prepoznati iz nekoliko karakteristika:

• naredba sadrži mješavinu velikih i malih slova (kako bi se izbjegla detekcija antivirusnim softverom)
• komunikacija se odvija putem porta 8080, a domena ima kratak naziv od nekoliko znakova (često je i nedavno registrirana)
• pojavljuje se string nasumičnih alfanumeričkih znakova (koji se vjerojatno koristi kao token)
• u naredbi se javlja ime računala i/ili korisničko ime žrtve

Kada je ova naredba izvršena, dolazi do preuzimanja i pokretanja datoteka s C&C poslužitelja. Komunikacija se najčešće odvija protokolom HTTP. Ako je uspješan, ovaj korak otvara niz brojnih mogućnosti za daljnje napade i širenje mrežom.

Slika 1. Prikaz napada Raspberry Robin malwareom [3]

Nakon što msiexec.exe uspješno uspostavi mrežnu vezu s C&C poslužiteljem, preuzima i instalira nasumično imenovani zlonamjerni DLL (Dynamic Link Library), obično smješten u C:\ProgramData.

DLL je datoteka koja sadrži skup funkcija i procedura koje drugi programi mogu koristiti. U kontekstu zlonamjernog softvera, DLL može sadržavati kod koji omogućuje izvršavanje malicioznih aktivnosti kao što su širenje infekcije, krađa podataka ili izmjena privilegija. Naziv DLL datoteke sastoji se od dva do osam nasumičnih znakova, a završava ekstenzijom od tri znaka koja može biti .tmp, .etl, .log i sl..

Ovaj DLL, poznat i kao Roshtyak, može biti pokrenut raznim procesima u pokušaju mijenjanja privilegija i zaobilaženja User Access Control (UAC), ovisno o načinu prikrivanja aktivnosti koja će biti najvjerojatnija za uspjeh.

Zlonamjerni DLL ima brojne funkcionalnosti, uključujući daljnje C2 (Command and Control) aktivnosti, poput kreiranja zadataka i sposobnosti preuzimanja te izvršavanja dodatnih zlonamjernih datoteka.

C2 aktivnosti omogućuju napadaču da putem C&C servera šalje naredbe zaraženim računalima i prikuplja podatke, čime zadržava kontrolu nad zaraženim sustavima. Na slici 2. prikazana je povezanost Raspberry Robina s većim sustavom kibernetičkog kriminala.

Slika 2. Povezanost Raspberry Robina s većim ekosustavom kibernetičkog kriminala [4]

Kako bi otežao detekciju malwarea zaštitnim softverima, Raspberry Robin koristi višeslojnu strukturu. Svaki od slojeva ima specifičnu ulogu čiji je cilj omesti zaštitu te omogućiti izvršavanje sljedećeg sloja.

Payload (glavni zloćudni program) nalazi se u najnižem sloju, a svaki sloj iznad njega služi za šifriranje. Kao zaštita koristi se i obfuskacija, kod je pisan nečitljivo i zbunjujuće te je razbijen na male, naočigled nepovezane dijelove kako bi automatskom detekcijom (a i reverznim inženjeringom) bilo što teže otkriti njegovu stvarnu namjenu. Slika 3. Višeslojna struktura Raspberry Robina [9]

Kao što je prikazano na slici 3., u 8. sloju crva nalazi se detekcija kojom malware može primijetiti da je otkriven, te aktivira takozvani fake payload, čija je svrha uvjeriti zaštitu sustava da je u potpunosti razotkrila njegove namjere.

Na kraju procesa, nakon što su svi slojevi dešifrirani i izvršeni, payload se u potpunosti dešifrira i preuzima kontrolu nad ciljnim sustavom. Ovaj završni sloj sadrži glavnu funkcionalnost, kao što su (kao što je već spomenuto iznad) povezivanje s C&C serverima, preuzimanje dodatnih datoteka ili izvođenje drugih zlonamjernih aktivnosti.

U srpnju 2022. godine, Microsoft je izvijestio o SocGholish binarnoj datoteci koji se preuzima kao posljedica Raspberry Robin napada. SocGholish koristi drive-by-downloads koji se prikazuju kao ažuriranja softvera kako bi prevarili posjetitelje kompromitiranih web stranica i natjerali ih da izvrše zlonamjerni softver. To je značajno povećalo rizik od infekcije drugih računala Raspberry Robin crvom, čineći ga potencijalnim predvodnikom za ransomware napad.

U listopadu 2022. godine, Microsoft je podijelio dodatna zapažanja vezana uz Raspberry Robin, od kojih je najistaknutije bilo to da je Raspberry Robin bio korišten u napadima koji su uključivali daljnje aktivnosti poput BumbleBee, Cobalt Strike i IcedID.

Ovaj sustav napada nakon početne infekcije Raspberry Robinom jasno pokazuje njegovu ulogu u sofisticiranim i dugotrajnim napadima, što čini ovu prijetnju još opasnijom. Na slici 4. prikazana je raspodjela napada Raspberry Robinom u listopadu i studenom 2022. po državama.

Slika 4. Zabilježeni Raspberry Robin napadi u listopadu i studenom 2022. [9]

• redovno ažuriranje operacijskog sustava i aplikacija
• korištenje pouzdanih antivirusnih i antimalware alata
• blokiranje automatskog pokretanja USB uređaja
• edukacija potencijalnih meta
• oprez kod skidanja neprovjerenih arhiva s interneta

Raspberry Robin je, unatoč sve boljoj zaštiti i znanju o načinu na koji funkcionira, i dalje aktualna i ozbiljna prijetnja sigurnosti računala i mreža. Zbog lakog i brzog načina širenja, sve se više koristi kao sredstvo za pokretanje još sofisticiranijih napada. Postoji mogućnost da su napadači koji stoje iza zlonamjernih kampanja povezanih s Raspberry Robinom – a koje se obično šire putem drugih kanala poput lažnih oglasa ili e-mailova – zapravo plaćali autorima Raspberry Robina za instalaciju zlonamjernog softvera. Ključ u obrani protiv ovog malwarea je edukacija potencijalnih meta te redovito praćenje novih otkrića i upozorenja vezanih uz njega.

[1] Red Canary - Threat detection report: https://redcanary.com/threat-detection-report/threats/raspberry-robin/

[2] Red Canary - Threat intelligence: https://redcanary.com/blog/threat-intelligence/raspberry-robin/

[3] LNK file: https://www.minitool.com/lib/lnk-file.html

[4] Microsoft Security: https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/

[5] Logpoint - Raspberry Robin: https://www.logpoint.com/en/blog/emerging-threats/raspberry-robin/

[6] Red Canary - Top Cyber Threats: https://redcanary.com/threat-detection-report/threats/

[7] HP Threat Research Blog - Raspberry Robin Now Spreading Through Windows Script Files: https://threatresearch.ext.hp.com/raspberry-robin-now-spreading-through-windows-script-files/

[8] What is C2?: https://www.varonis.com/blog/what-is-c2

[9] https://www.trendmicro.com/en_gb/research/22/l/raspberry-robin-malware-targets-telecom-governments.html

Video se nalazi na linku: https://ferhr-my.sharepoint.com/:v:/g/personal/mc54026_fer_hr/EabO9-ckQbtGopvMuElKQw4BytmE-OIrPhxNUbPcNK6bKQ?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJPbmVEcml2ZUZvckJ1c2luZXNzIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXciLCJyZWZlcnJhbFZpZXciOiJNeUZpbGVzTGlua0NvcHkifX0&e=9fk8IE