
A Maggio del 2022 è stato osservato per la prima volta un nuovo Worm, particolarmente evasivo, che si diffonde nelle reti private e aziendali attraverso chiavette USB compromesse.
A questo nuovo Worm è stato dato il nome “Raspberry Robin“.
I Worm che si propagano attraverso dispositivi USB non sono di certo nuove minacce e molto spesso, trattandosi di vecchi malware, le infrastrutture di comando e controllo risultano offline.
Raspberry Robin è invece una reale minaccia per la sicurezza delle Aziende in quanto:
- è attivamente gestito dai criminali;
- utilizza una sofisticata catena di compromissione per l’elusione della difesa;
- viene utilizzato come ponte per attacchi di tipo Ransomware (fonte);
- utilizza sistemi QNAP compromessi come infrastruttura C2 e rete TOR (The Onion Routing).
Proteggersi da una Compromissione
Come accennato in precedenza, il Malware arriva nell’infrastruttura tramite una iniziale compromissione di una Workstation per mezzo di un dispositivo USB.
All’apertura del dispositivo USB viene mostrato alla vittima un classico collegamento Windows:

Il doppio click su quest’ultimo avvia la catena di compromissione mostrando a video la corretta apertura di una cartella di destinazione lanciando contemporaneamente in esecuzione una serie di comandi malevoli:

Il primo comando malevolo ha la funzione di Downloader, viene sfruttato per l’effettivo download del malware Raspberry Robin:

Una particolarità del Malware è l’utilizzo di server QNAP precedentemente compromessi per poter distribuire il payload malevolo finale.
A questo punto, il download del payload finale completa la fase di compromissione ed avvia le comunicazioni con il server di comando e controllo tipicamente su rete TOR (The Onion Routing):

Metodi di rilevamento della minaccia
La difesa di un infrastruttura da una compromissione da malware Raspberry Robin può essere eseguita su diversi livelli.
Il primo metodo: Endpoint Security
Con una visibilità di tutti i sistemi aziendali, è possibile identificare questo genere di compromissione rilevando l’esecuzione di comandi sospetti. In questo caso l’identificazione del processo msiexec associato alla presenza della parola chiave http potrebbe essere un primo campanello d’allarme.
Testare la difesa:
E’ possibile simulare l’attività offensiva, per poter testare l’effettiva capacità difensiva dei sistemi per questo genere di compromissione, lanciando il comando (Test Atomic Red Team):
msiexec.exe /q /i "https://github.com/redcanaryco/atomic-red-team/raw/master/atomics/T1218.007/src/T1218.007_JScript.msi"
Il secondo metodo: Network e Intelligence Feed
E’ possibile identificare una compromissione da malware Raspberry Robin e simili, utilizzando le informazioni acquisite dal network dell’azienda, seguendo due diversi approcci:
- utilizzo di sistemi di tipo Intrusion Detection System:
- in questo caso, se correttamente configurato, il sistema IDS dovrebbe possedere delle regole per l’identificazione del traffico malevolo facendo sniffing delle comunicazioni con il C2.
- utilizzo di feed di Intelligence:
- sfruttando le informazioni di feed di intelligence riguardanti i malware e i sistemi offensivi. Basta infatti correlare l’informazione di indirizzi IP e domini per identificare il traffico anomalo!
Attenzione! In questo caso, dal punto di vista difensivo, l’identificazione della minaccia avviene post-compromissione! Il sistema è già compromesso e si potrebbero avere impatti sulle informazioni del sistema vittima.
Difesa Fortgale
Fortgale si occupa della messa in sicurezza delle aziende da questo genere di minacce informatiche e compromissioni! Dalla difesa per attacchi Malware (Ransomware, Worm, Trojan e Spyware) alle compromissioni di sistemi perimetrali attraverso vulnerabilità applicative e sistemistiche.
Identifichiamo gli attaccanti dal primo momento in cui questi provano a muovere i primi passi nei sistemi e nelle reti dell’Azienda.
Con dei servizi specialistici pensati per le diverse caratteristiche aziendali, possiamo intervenire sui diversi aspetti della difesa.
Contatti: info@fortgale.com


