Hopp til hovedinnhold
NHN
Gå tilbake til Helse- og kommuneCERT varsler

[NBP-trussel] [HelseCERT#10050672] Varsel om USB-spredt skadevare - Raspberry Robin

[Trafikklysprotokoll: HVIT*]

----------------------------------------------------------------------

Hei!

Vi er kjent med at flere virksomheter i helsesektoren den siste tiden har blitt utsatt for en bestemt skadevare fra infiserte minnepinner. Skadevaren kalles Raspberry Robin [1][2][3][4] og benytter flere angrepsteknikker som gjør at den omgår tradisjonelle sikringstiltak.

Dette er også grunnen til at vi ønsker å sette ekstra fokus på denne varianten. I flere av hendelsene vi kjenner til har angrepsforsøket blitt stoppet av Microsoft Defender ATP. Vi er også kjent med andre mekanismer som har stoppet dette, som er listet opp under anbefalinger og tiltak.

Se vedlagt bilde og vedlagt PDF for en beskrivelse av hvordan angrepsflyten er.

illustrasjon som viser angrepsflyten
Bruker lures til å åpne en LNK-fil som utnytter Windows Installer til å laste ned, installere og kjøre skadevare

I kort går angrepsmetoden ut på at bruker lures til å åpne en LNK-fil som utnytter Windows Installer til å laste ned, installere og kjøre skadevare i form av en DLL-fil. Hvordan minnepinnene har blitt infiserte er ukjent, men mest sannsynlig fra andre infiserte maskiner.

Vi anser gruppen bak Raspberry Robin som en såkalt ‘Initial Access Broker’, altså en gruppe som fokuserer på å få fotfeste i virksomheter, for deretter å selge tilgangen videre.

Anbefalinger og tiltak (tiltakene er mer utførlig beskrevet i vedlagte PDF):

  • Begrensing av hvilke minnepinner som kan benyttes. [5]
  • Blokkerer nylig opprettede domener, også som et generelt risikoreduserende tiltak. Dette kan for eksempel gjøres i en del brannmurer av nyere type.
  • Vurder å innføre applikasjonshvitelisting på DLL-filer. [6] OBS! Merk at regler for lasting av DLL kan påvirke ytelsen.
  • Vurder overvåking av nettverkstrafikk generert av Windows Installer/msiexec.

Referanser:

  • [1] - https://redcanary.com/blog/raspberry-robin/
  • [2] - https://securityintelligence.com/posts/raspberry-robin-worm-dridex-malware/[..]
  • [3] - https://7095517.fs1.hubspotusercontent-na1.net/hubfs/7095517/FLINT%202022-0[..]
  • [4] - https://www.infracom.com.sg/raspberry-robin-highly-evasive-worm-spreads-ove[..]
  • [5] - https://learn.microsoft.com/en-us/windows/client-management/manage-device-i[..]
  • [6] - https://learn.microsoft.com/en-us/windows/security/threat-protection/window[..]

----------------------------------------------------------------------

[*] HVIT: Informasjonen er offentlig tilgjengelig og kan publiseres og spres til publikum. Enhver kontaktperson kan publisere informasjonen

Vennlig hilsen
HelseCERT, Norsk helsenett SF
post@helsecert.no
www.nhn.no/helsecert
Tlf: 24 20 00 00

(Vennligst behold emnet i e-post ved svar.)

Fant du det du lette etter?
Ja Nei