Una nueva investigación ha descubierto casi 200 dominios únicos de comando y control (C2) asociados con un malware llamado Raspberry Robin.
«Raspberry Robin (asimismo conocido como Roshtyak o Storm-0856) es un actor de amenazas confuso y en cambio que brinda servicios de corredor de golpe original (IAB) a numerosos grupos criminales, muchos de los cuales tienen conexiones con Rusia», dijo Silent Push en un referencia compartido con las parte de los piratas informáticos.
Desde su aparición en 2019, el malware se ha convertido en un conducto para varias cepas maliciosas como Socgholish, Didex, Lockbit, IceDid, Bumblebee y TrueBot. Igualmente se conoce como un helminto QNAP correcto al uso de dispositivos QNAP comprometidos para recuperar la carga útil.
A lo liberal de los primaveras, las cadenas de ataque de Raspberry Robin han complemento un nuevo método de distribución que implica descargarlo a través de archivos y archivos de scripts de Windows enviados como archivos adjuntos utilizando el servicio de correo Discord, sin mencionar la adquisición de exploits de un día para conquistar una ascenso de privilegios locales antiguamente de que se revelen públicamente.
Igualmente hay alguna evidencia que sugiere que el malware se ofrece a otros actores como una botnet de cuota por instalación (PPI) para entregar malware en la próxima etapa.
Adicionalmente, las infecciones por robin de Raspberry han incorporado un mecanismo de propagación basado en USB que implica el uso de una pelotón USB comprometida que contiene un archivo de golpe directo de Windows (LNK) disfrazado de carpeta para activar la implementación del malware.
Desde entonces, el gobierno de los Estados Unidos ha revelado que el actor de amenaza de estado-estado ruso rastreó como Cadet Blizzard puede acontecer usado Raspberry Robin como facilitador de golpe original.
Silent Push, en su final observación realizado adyacente con Team Cymru, encontró una dirección IP que se estaba utilizando como un relé de datos para conectar todos los dispositivos QNAP comprometidos, lo que finalmente llevó al descubrimiento de más de 180 dominios C2 únicos.
«La dirección IP singular se conectó a través de Relés TOR, que probablemente es cómo los operadores de red emitieron nuevos comandos e interactuaron con dispositivos comprometidos», dijo la compañía. «La IP utilizada para este relé se basó en un país de la UE».
Una investigación más profunda de la infraestructura ha revelado que los dominios Raspberry Robin C2 son cortos (por ejemplo, Q2 (.) RS, M0 (.) WF, H0 (.) WF y 2I (.) PM, y que se rotan rápidamente entre los dispositivos comprometidos y a través de IPS utilizando una técnica convocatoria Flux rápido en un esfuerzo por hacer que los tome por tomarlos.
Algunos de los principales dominios de nivel superior de Raspberry Robin (TLDS) son .wf, .pm, .re, .nz, .eu, .gy, .tw y .cx, con dominios registrados utilizando registros de hornacina como Sarek Oy, 1api GmbH, Netim, Epag (.) De, Centralnic LTD, y Open SRS. La mayoría de los dominios C2 identificados tienen servidores de nombres en una compañía búlgara convocatoria CloudNS.
«El uso de Raspberry Robin por parte de los actores de amenaza del gobierno ruso se alinean con su historia de trabajar con innumerables actores de amenaza serias, muchos de los cuales tienen conexiones con Rusia», dijo la compañía. «Estos incluyen Lockbit, Dridex, Socgholish, Dev-0206, Evil Corp (Dev-0243), Fauppod, Fin11, Clop Gang y Lace Tempest (TA505)».
