Una nueva investigación ha descubierto casi 200 dominios únicos de comando y control (C2) asociados con un malware llamado Raspberry Robin.
«Raspberry Robin (también conocido como Roshtyak o Storm-0856) es un actor de amenazas complejo y en evolución que brinda servicios de corredor de acceso inicial (IAB) a numerosos grupos criminales, muchos de los cuales tienen conexiones con Rusia», dijo Silent Push en un informe compartido con las noticias de los piratas informáticos.
Desde su aparición en 2019, el malware se ha convertido en un conducto para varias cepas maliciosas como Socgholish, Didex, Lockbit, IceDid, Bumblebee y TrueBot. También se conoce como un gusano QNAP debido al uso de dispositivos QNAP comprometidos para recuperar la carga útil.
A lo largo de los años, las cadenas de ataque de Raspberry Robin han agregado un nuevo método de distribución que implica descargarlo a través de archivos y archivos de scripts de Windows enviados como archivos adjuntos utilizando el servicio de mensajería Discord, sin mencionar la adquisición de exploits de un día para lograr una escalada de privilegios locales antes de que se revelen públicamente.
También hay alguna evidencia que sugiere que el malware se ofrece a otros actores como una botnet de pago por instalación (PPI) para entregar malware en la próxima etapa.
Además, las infecciones por robin de Raspberry han incorporado un mecanismo de propagación basado en USB que implica el uso de una unidad USB comprometida que contiene un archivo de acceso directo de Windows (LNK) disfrazado de carpeta para activar la implementación del malware.
Desde entonces, el gobierno de los Estados Unidos ha revelado que el actor de amenaza de estado-estado ruso rastreó como Cadet Blizzard puede haber usado Raspberry Robin como facilitador de acceso inicial.
Silent Push, en su último análisis realizado junto con Team Cymru, encontró una dirección IP que se estaba utilizando como un relé de datos para conectar todos los dispositivos QNAP comprometidos, lo que finalmente llevó al descubrimiento de más de 180 dominios C2 únicos.
«La dirección IP singular se conectó a través de Relés TOR, que probablemente es cómo los operadores de red emitieron nuevos comandos e interactuaron con dispositivos comprometidos», dijo la compañía. «La IP utilizada para este relé se basó en un país de la UE».
Una investigación más profunda de la infraestructura ha revelado que los dominios Raspberry Robin C2 son cortos (por ejemplo, Q2 (.) RS, M0 (.) WF, H0 (.) WF y 2I (.) PM, y que se rotan rápidamente entre los dispositivos comprometidos y a través de IPS utilizando una técnica llamada Flux rápido en un esfuerzo por hacer que los tome por tomarlos.
Algunos de los principales dominios de nivel superior de Raspberry Robin (TLDS) son .wf, .pm, .re, .nz, .eu, .gy, .tw y .cx, con dominios registrados utilizando registros de nicho como Sarek Oy, 1api GmbH, Netim, Epag (.) De, Centralnic LTD, y Open SRS. La mayoría de los dominios C2 identificados tienen servidores de nombres en una compañía búlgara llamada CloudNS.
«El uso de Raspberry Robin por parte de los actores de amenaza del gobierno ruso se alinean con su historia de trabajar con innumerables actores de amenaza serias, muchos de los cuales tienen conexiones con Rusia», dijo la compañía. «Estos incluyen Lockbit, Dridex, Socgholish, Dev-0206, Evil Corp (Dev-0243), Fauppod, Fin11, Clop Gang y Lace Tempest (TA505)».