Uma nova investigação revelou quase 200 domínios de comando e controle (C2) únicos associados a um malware chamado Raspberry Robin.
"Raspberry Robin (também conhecido como Roshtyak ou Storm-0856) é um ator de ameaça complexo e em evolução que fornece serviços de corretor de acesso inicial (IAB) para vários grupos criminosos, muitos dos quais têm conexões com a Rússia," disse Silent Push em um relatório compartilhado.
Desde sua aparição em 2019, o malware se tornou um canal para diversas cepas maliciosas como SocGholish, Dridex, LockBit, IcedID, BumbleBee e TrueBot.
Também é referido como worm QNAP devido ao uso de dispositivos QNAP comprometidos para recuperar o payload.
Ao longo dos anos, as cadeias de ataque do Raspberry Robin adicionaram um novo método de distribuição que envolve o download por meio de arquivos de arquivo e Windows Script Files enviados como anexos usando o serviço de mensagens Discord, sem mencionar a aquisição de exploits de um dia para alcançar a escalada de privilégio local antes de serem divulgados publicamente.
Há também algumas evidências que sugerem que o malware é oferecido a outros atores como uma botnet pay-per-install (PPI) para entregar malware de próxima fase.
Além disso, as infecções por Raspberry Robin incorporaram um mecanismo de propagação baseado em USB que envolve o uso de um drive USB comprometido contendo um arquivo de atalho do Windows (LNK) disfarçado de pasta para ativar a implantação do malware.
O governo dos EUA revelou desde então que o ator de ameaça de estado-nação russo rastreado como Cadet Blizzard pode ter usado o Raspberry Robin como um facilitador de acesso inicial.
Silent Push, em sua análise mais recente realizada juntamente com a Team Cymru, encontrou um endereço IP que estava sendo usado como um relay de dados para conectar todos os dispositivos QNAP comprometidos, levando à descoberta de mais de 180 domínios C2 únicos.
"O endereço IP único estava conectado através de relays Tor, o que provavelmente é como os operadores de rede emitiram novos comandos e interagiram com os dispositivos comprometidos," disse a empresa.
O IP usado para este relay estava baseado em um país da UE.
Uma investigação mais aprofundada da infraestrutura revelou que os domínios C2 do Raspberry Robin são curtos – por exemplo, q2[.]rs, m0[.]wf, h0[.]wf, e 2i[.]pm – e que eles são rapidamente rotacionados entre dispositivos comprometidos e através de IPs usando uma técnica chamada fast flux em um esforço para tornar desafiador derrubá-los.
Alguns dos principais domínios de nível superior (TLDs) do Raspberry Robin são .wf, .pm, .re, .nz, .eu, .gy, .tw e .cx, com domínios registrados usando registradores de nicho como Sarek Oy, 1API GmbH, NETIM, Epag[.]de, CentralNic Ltd e Open SRS.
A maioria dos domínios C2 identificados têm servidores de nome em uma empresa búlgara chamada ClouDNS.
"O uso do Raspberry Robin por atores de ameaça do governo russo alinha-se com sua história de trabalho com inúmeros outros atores de ameaça sérios, muitos dos quais têm conexões com a Rússia," disse a empresa.
Estes incluem LockBit, Dridex, SocGholish, DEV-0206, Evil Corp (DEV-0243), Fauppod, FIN11, Clop Gang e Lace Tempest (TA505).
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...