Karmaşık ve gelişen bir kötü amaçlı yazılım tehdidi olan Raspberry Robin, 2019’dan beri faaliyet gösteriyor ve başlangıçta basılı ve kopyalama dükkanlarında enfekte USB sürücülerinden yayılıyor.
Bu sofistike kötü amaçlı yazılım, basit bir solucandan tam teşekküllü bir başlangıç erişim brokeri (IAB) hizmetine dönüştürüldü ve çok sayıda suç grubu ve tehdit aktör için uzlaşmış ağlara ayrıcalıklı erişim sağladı.
Kötü amaçlı yazılım metodolojisi, kullanıcıların klasörler olarak gizlenmiş Windows kısayol (LNK) dosyalarını tıklamasını gerektiren “kötü USB” saldırılarından başlayarak önemli ölçüde gelişti.
.webp)
Bu kötü amaçlı dosyalar cmd.exe işlemleri oluşturur ve komut ve kontrol (C2) sunucularına bağlantılar oluşturur.
2024 yılına gelindiğinde, Raspberry Robin dağıtım yöntemlerini, web indirmeleri aracılığıyla anlaşmazlık ve kötü amaçlı yazılımlar yoluyla ek olarak gönderilen arşiv dosyalarını dahil etmek için genişletti.
Sessiz Push araştırmacıları, adlandırma kuralları, alan kalıpları ve altyapı çeşitliliğinin kapsamlı analizi yoluyla yaklaşık 200 benzersiz ahududu robin C2 alanı belirledi.
Bu keşif, tehdit oyuncunun faaliyetlerini ve altyapısını 2025’e kadar izlemede çok önemlidir ve düzinelerce alan her hafta aktif kalmıştır.
Kötü amaçlı yazılımların Rus tehdit aktörleriyle olan bağlantısı, Eylül 2024’te CISA, FBI ve NSA’nın ahududu Robin’i Rusya’nın GRU’suna ve özellikle 29155’e bağlayan ortak bir danışmanlık yayınladığı doğrulandı.
Bu bağlantı, kötü amaçlı yazılımların Lockbit, Dridex, Socgholish ve Evil Corp gibi çeşitli Ruslara uyumlu tehdit gruplarıyla işbirliği geçmişiyle uyumludur.
Özellikle endişe verici olan Raspberry Robin’in N-Day istismarlarını kullanması-açıklamadan kısa bir süre sonra bilinen ancak hızlı bir şekilde silahlandırılan güvenlik açıkları-önemli kalkınma kaynaklarını veya yeraltı ekonomisine güçlü bağlantıları gösteriyor.
Alan altyapı analizi
Ahududu Robin’in komutu ve kontrol altyapısı, izlemeyi mümkün kılan belirgin kalıplar ortaya çıkarır.
.webp)
Alanlar tipik olarak .wf, .pm, .re ve .nz gibi nadir iki harfli üst düzey alan (TLDS) ile üç karakter içerir.
Temsili bir örnek Q2’dir[.]Rs. Sessiz push analistleri, alanların farklı IP adreslerinden döndüğü, bazen sadece bir gün boyunca tek bir IP’de kalan klasik “hızlı akı” davranışlarını gözlemledi.
Bu teknik, tespit ve yayından kaldırma çabalarını karmaşıklaştırır.
// Example domain pattern tracking
const raspberryRobinDomains = [
'2i.pm', 'q2.rs', 'f3.wf', 'j5.re', 'k7.nz'
];2022’de Namecheap tarafından yaklaşık 80 alandan oluşan bir yayından kaldırıldıktan sonra, kayıt şirketlerini çeşitlendirerek uyarlandı, Sarek Oy, 1APi GmbH, Netim ve EPAG dahil olmak üzere daha düşük kaliteli hizmetlere geçiş yaptı.[.]ile ilgili.
Çoğu alan şu anda Cloudns (Cloudns[.]Net) Nameersvers, Global Sunucu Dağıtımına sahip bir Bulgar şirketi.
2024’te yapılan netflow analizi önemli bir bulguyu ortaya çıkardı: tüm tehlikeye atılan QNAP cihazlarına bağlanan panel/veri rölesi olarak işlev gören tekil bir IP adresi.
Bu IP, TOR röleleriyle iletişim kurar ve muhtemelen operatörlerin anonimlik korurken tehlikeye atılan altyapıya komutlar vermesine izin verir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free