Zurück in die Zukunft: In den letzten Wochen hat das InfoGuard Cyber Defence Center zusammen mit dem Incident-Response-Team verschiedene Fälle von kritischen Infektionen untersucht, die über infizierte USB-Sticks ausgelöst wurden. Obwohl USB-Malware oder USB-Würmer schon seit Jahren bekannt sind und durch das Ausschalten der AutoPlay-Funktionalität eine gewisse Entschärfung stattgefunden hat, haben Cyber-Kriminelle wiederum Wege gefunden, die Benutzer zum Ausführen von bösartigem Code auf dem USB-Stick zu bewegen.
Eine Malware-Familie sticht dabei aus der Familie der USB-Schädlinge besonders heraus: die von der amerikanischen Cyber-Security-Firma Red Canary getaufte Malware namens «Raspberry Robin». Raspberry Robin wurde im Mai 2022 das erste Mal in einem Blogpost von Red Canary vorgestellt und hat sich innerhalb eines halben Jahres von einem klassischen USB-Wurm zu einer ernsthaften Bedrohung für Firmennetzwerke entwickelt.(1)
Die initiale Infektion findet über Shortcut-Dateien auf dem USB-Stick statt (.LNK Dateien), die von den ahnungslosen Benutzern angeklickt werden. Nach dem Doppelklicken der Verknüpfung(en) wird durch das legitime Microsoft-Programm «msiexec» ein bösartiges MSI-Paket aus dem Internet heruntergeladen und auf dem Host installiert, was zu einer Kompromittierung des Rechners führt.
Als Teil der Infektionskette wird eine Persistenz eingerichtet, also dass der bösartige Code auch nach einem Neustart des Rechners wieder gestartet würde. In der Folge macht der infizierte Rechner periodische Abfragen zu Command & Control Servern, um neue Befehle abzuholen und ggf. weiteren Code auf dem Rechner auszuführen.
Nach der initialen Infektion kann unter Umständen weiterer Code nachgeladen werden. Das InfoGuard Cyber Defence Center entdeckte diverse Fälle, in denen eine bösartige DLL auf den infizierten Systemen ausgeführt wurde. Gemäss der detaillierten Analyse von Microsoft ist diese DLL für die Erstellung von weiteren Verknüpfungen auf den eingesteckten USB-Sticks verantwortlich, was dem Wurm für die Weiterverbreitung dient und so unter Umständen weitere Rechner in einem Firmennetzwerk infizieren kann.(2)
Die Angreifer können aber über die bereits installierten Vektoren auf dem infizierten Host beliebigen weiteren Code nachladen. In den von InfoGuard untersuchten Fällen wurde der bekannte Trojaner «Agent Tesla» versucht herunterzuladen, der es einem Angreifer ermöglichen würde, einen detaillierten und gezielten Angriff gegen das interne Netzwerk vorzunehmen, indem der infizierte Computer betrieben wird.
Aufgrund dem Nachladen von beliebigem Code, was schlussendlich zu einem «Hands-On»-Angriff führt – also dem orchestrierten Angriff durch einen Menschen –, wird vermutet, dass die Drahtzieher hinter Raspberry Robin ihre initialen Zugänge in Netzwerke an beliebige andere Gruppierungen verkaufen. Genau dieses Nachladen von weiterem Code ist eine hochriskante Aktion, die schnell zu einer vollständigen Kompromittierung vom Netzwerk führen könnte.
Ein gezieltes Hunting nach Raspberry Robin kann durch die Spezialist*innen der InfoGuard bei Bedarf durchgeführt werden. Kontaktieren Sie uns für eine Besprechung der nächsten Schritte.
1) https://redcanary.com/blog/raspberry-robin/
4) https://www.stigviewer.com/stig/windows_server_2016/2019-07-09/finding/V-73547