Una nuova indagine ha portato alla luce quasi 200 domini univoci di comando e controllo (C2) associati a un malware chiamato Raspberry Robin.
“Raspberry Robin (noto anche come Roshtyak o Storm-0856) è un attore di minaccia complesso e in evoluzione che fornisce servizi di dealer di accesso iniziale (IAB) a numerosi gruppi criminali, molti dei quali hanno connessioni con la Russia”, Silent Push disse In un rapporto condiviso con le notizie di Hacker.
Dal suo emergenza Nel 2019, il malware ha diventare Un condotto per vari ceppi dannosi come Socholish, Dridex, Lockbit, Icedid, Bumblebee e Truebot. Viene anche definito un verme QNAP a causa dell’uso di dispositivi QNAP compromessi per recuperare il payload.
Nel corso degli anni, le catene di attacco di Raspberry Robbin hanno aggiunto un nuovo metodo di distribuzione che prevede il obtain tramite archivi e file di script di Home windows inviati come allegati utilizzando la discordia del servizio di messaggistica, per non parlare del fatto che Acquisizione di exploit di un giorno per raggiungere l’escalation dei privilegi locali prima di essere divulgati pubblicamente.
Ce ne sono anche alcuni prova Per suggerire che il malware è offerto advert altri attori come botnet Pay-Per-Set up (PPI) per fornire malware per la fase successiva.
Inoltre, le infezioni da robbine di lampone hanno incorporato a Meccanismo di propagazione basato su USB Ciò comporta l’utilizzo di un’unità USB compromessa contenente un file di scelta rapida di Home windows (LNK) travestito da cartella per attivare la distribuzione del malware.
Da allora il governo degli Stati Uniti rivelato Che l’attore russo della minaccia dello stato-nazione tracciato come Cadet Blizzard potrebbe aver usato il robin di lampone come facilitatore di accesso iniziale.
Silent Push, nella sua ultima analisi intrapresa insieme al Workforce Cymru, ha trovato un indirizzo IP che veniva utilizzato come relè di dati per collegare tutti i dispositivi QNAP compromessi, portando alla fantastic alla scoperta di oltre 180 domini C2 unici.
“L’indirizzo IP singolare è stato collegato tramite Tor Relays, il che è probabilmente il modo in cui gli operatori di rete hanno emesso nuovi comandi e interagiti con dispositivi compromessi”, ha affermato la società. “L’IP utilizzato per questo relè period basato in un paese dell’UE.”
A deeper investigation of the infrastructure has revealed that the Raspberry Robin C2 domains are quick – eg, q2(.)rs, m0(.)wf, h0(.)wf, and 2i(.)pm – and that they’re quickly rotated between compromised units and thru IPs utilizing a tecnica chiamato Flusso rapido Nel tentativo di rendere difficile abbatterli.
Alcuni dei domini di alto livello di lampone (TLDS) sono .wf, .pm, .re, .nz, .eu, .gy, .tw e .cx, con domini registrati utilizzando registrar di nicchia come Sarek oy, 1api GmbH, netim, ePag (.) DE, Centralnic Ltd e Open SRS. La maggior parte dei domini C2 identificati ha server di nomi su una società bulgara di nome Cloudns.
“L’uso di Raspberry Robin da parte degli attori delle minacce del governo russo si allinea alla sua storia di lavoro con innumerevoli altri attori delle minacce, molti dei quali hanno legami con la Russia”, ha affermato la società. “Questi includono Lockbit, Dridex, Socgholish, Dev-0206, Evil Corp (Dev-0243), FauPPOD, FIN11, Clop Gang e Lace Tempest (TA505).”
