Yeni bir soruşturma, bir kötü amaçlı yazılımla ilişkili yaklaşık 200 benzersiz komut ve kontrol (C2) alanını ortaya çıkardı. Ahududu Robin.
“Raspberry Robin (Roshtyak veya Storm-0856 olarak da bilinir), birçoğu Rusya ile bağlantıları olan çok sayıda suç grubuna ilk erişim brokeri (IAB) hizmetleri sağlayan karmaşık ve gelişen bir tehdit aktörüdür.” Dedi.
2019’da ortaya çıkmasından bu yana, kötü amaçlı yazılım, Socgholish, Dridex, Lockbit, Icedid, Bumblebee ve TrueBot gibi çeşitli kötü niyetli suşlar için bir kanal haline geldi. Ayrıca, yükü almak için tehlikeye atılmış QNAP cihazlarının kullanımı nedeniyle QNAP solucanı olarak da adlandırılır.
Yıllar geçtikçe, Raspberry Robin saldırı zincirleri, halka açık bir şekilde açıklanmadan önce yerel ayrıcalık artışını elde etmek için bir günlük istismar elde etmekten bahsetmiyorum bile, mesajlaşma hizmeti uyumsuzluğunu kullanarak ek olarak gönderilen arşivler ve Windows komut dosyası dosyaları aracılığıyla indirilmeyi içeren yeni bir dağıtım yöntemi ekledi.
Ayrıca, kötü amaçlı yazılımların, gelecek aşama kötü amaçlı yazılımları sunmak için diğer aktörlere (PPI) botnet olarak diğer aktörlere sunulduğunu gösteren bazı kanıtlar da vardır.
Ayrıca, ahududu robin enfeksiyonları, kötü amaçlı yazılımların dağıtımını etkinleştirmek için bir klasör olarak gizlenmiş bir Windows kısayolu (LNK) dosyası içeren tehlikeye atılmış bir USB sürücüsünü kullanmayı içeren USB tabanlı bir yayılma mekanizması içermiştir.
ABD hükümeti o zamandan beri, Cadet Blizzard olarak izlenen Rus ulus-devlet tehdit oyuncusunun Raspberry Robin’i ilk erişim kolaylaştırıcısı olarak kullanmış olabileceğini açıkladı.
Silent Push, Cymru Team ile birlikte üstlenilen son analizinde, tehlikeye atılan tüm QNAP cihazlarını bağlamak için bir veri rölesi olarak kullanılan bir IP adresi buldu ve sonuçta 180’den fazla benzersiz C2 alanının keşfine yol açtı.
Şirket, “Tekil IP adresi TOR röleleriyle bağlandı, bu da ağ operatörlerinin yeni komutlar yayınladığı ve tehlikeye atılan cihazlarla etkileşime girdiği gibi.” Dedi. “Bu röle için kullanılan IP bir AB ülkesine dayanıyordu.”
Altyapı hakkında daha derin bir araştırma, Raspberry Robin C2 alanlarının kısa olduğunu ortaya koydu – örneğin, Q2[.]Rs, M0[.]WF, H0[.]WF ve 2i[.]PM – ve bunları, onları devirmeyi zorlaştırmak için hızlı akı adı verilen bir teknik kullanılarak tehlikeye atılmış cihazlar arasında ve IP’ler aracılığıyla hızla döndürülürler.
Üst Raspberry Robin Üst Düzey Alan Alanlarından (TLDS) bazıları .wf, .pm, .re, .nz, .eu, .gy, .tw ve .cx, alan adları Sarek Oy, 1APi GMBH, Netim, EPAG gibi niş kayıt memurları kullanılarak kayıtlı[.]De, Centralnic Ltd ve Open SRS. Belirlenen C2 alanlarının çoğunluğunun Cloudns adlı bir Bulgar şirketinde isim sunucuları vardır.
Şirket, “Raspberry Robin’in Rus hükümeti tehdit aktörleri tarafından kullanımı, birçoğu Rusya ile bağlantıları olan sayısız diğer ciddi tehdit aktörleriyle çalışma geçmişiyle uyumlu.” Dedi. “Bunlar arasında Lockbit, Dridex, Socgholish, Dev-0206, Evil Corp (Dev-0243), Fauppod, Fin11, Clop Gang ve Dantel Tempest (TA505) yer alıyor.”