Siber güvenlik firması Security Joes’un 2 Ocak tarihli bir raporuna göre, grup birkaç saldırı turu için aynı QNAP sunucusunu kullandı – ancak kurban verileri artık düz metin değil, RC4 ile şifrelenmiş durumda ve indirme mekanizması yeni daha fazla karartma katmanı da dahil olmak üzere analiz karşıtı yetenekler.
Raspberry Robin, bir hedefin ağındaki diğer cihazlara yayılmadan önce, diğer kötü amaçlı yazılımlar için bir yükleyici görevi görerek, Truva atı haline getirilmiş USB cihazları aracılığıyla PC’lere bulaşan bir arka kapı solucanıdır. Mayıs ayında kurumsal ağlarda yuvalanırken tespit edildiğinden beri, hızla binlerce uç noktaya bulaştı ve tür hızla gelişiyor.
Solucanın arkasındaki tehdit aktörünün, fidye öncesi yazılım etkinliğini kolaylaştıran daha büyük ekosistemin bir parçası olduğu düşünülüyor ve şu anda etkin olan en büyük kötü amaçlı yazılım dağıtım platformlarından biri olarak kabul ediliyor. Araştırmacılar, örneğin, Dridex kötü amaçlı yazılım yükleyicisine olan önemli benzerlikleri sayesinde yakın zamanda bunu Evil Corp’a bağladı.
Araştırma ekibi, “Kötü amaçlı yazılımın benzersiz yanı, büyük ölçüde karartılmış olması ve statik olarak parçalarına ayrılması son derece karmaşık olmasıdır” diye yazdı.
Yükseltilmiş Kötü Amaçlı Yazılım Sürümü Uçuşa Geçiyor
En son yinelemede, kötü amaçlı yazılımdan koruma mekanizması, saldırının sonraki aşamalarının kodunu gizlemek için bir birinci aşama paketleyici ve ardından bir kabuk kodu yükleyici dahil olmak üzere, kötü amaçlı kod dağıtılmadan önce en az beş koruma katmanı dağıtacak şekilde yükseltildi.
Sonraki üç katman, ikinci aşama yükleyici DLL’sini, ara kabuk kodunu ve son olarak kabuk kodu indiricisini içerir. Araştırmacılar, bu karmaşık çerçevenin solucanı tespit etmeyi zorlaştırdığını ve aynı anda ağlar aracılığıyla yanal hareketi kolaylaştırdığını açıkladı.
Araştırma ayrıca, Raspberry Robin operatörlerinin kurbanları hakkında daha önce bildirilenden daha fazla veri toplamaya başladığını da gösterdi.
“Kötü amaçlı yazılımın birkaç kat daha karmaşık bir sürümünü keşfetmenin yanı sıra, eskiden düz metin kullanıcı adı ve ana bilgisayar adına sahip bir URL’ye sahip olan C2 işaretçisinin artık sağlam bir RC4 şifreli yüküne sahip olduğunu da bulduk. ” diye yazdı soruşturmayı yöneten kıdemli tehdit araştırmacısı Felipe Duarte.
Bir vakada, araştırma ekibi bir 7-Zip dosyasının kurbanın tarayıcısından, potansiyel olarak kullanıcıyı harekete geçirmesi için kandıran kötü amaçlı bir bağlantıdan veya ekten nasıl indirildiğini belgeledi.
Raporda, “İncelemenin ardından, arşivin, çalıştırıldığında kurbanın makinesine birkaç dosya bırakan bir MSI yükleyicisi olduğu bulundu.”
İkinci bir durumda, kötü amaçlı yük, tehdit aktörleri tarafından tespit edilmekten kaçınmak ve güvenlik kontrollerini atlamak için kurbanın makinesine kötü amaçlı yazılım dağıtmak için kullanılan bir Discord sunucusunda barındırılıyordu.
Raporda, “İncelediğimiz vakalarda, tehdit aktörleri, hedeflerinin daha iyi bir segmentasyonuna ve görünürlüğüne sahip olmak için arka uçlarında ek doğrulamalar uygulamaya karar verdiler.” “Bu, sanal alanlarda çalışan botları filtrelemelerine, ortamları analiz etmelerine ve gerçek zamanlı olarak düzeltmek için botnet operasyonunun bir bölümünü engelleyebilecek diğer herhangi bir duruma yanıt vermelerine olanak tanır.”
Ahududu Robin Turları Yapıyor
Tehdit, ortaya çıkma, kaybolma ve ardından önemli ölçüde yükseltilmiş yeteneklerle yeniden ortaya çıkma modelini izleyen değişkendir.
Güvenlik firması Red Canary, ilk olarak Mayıs ayında Raspberry Robin’i analiz etti ve adlandırdı, kötü amaçlı USB sürücüler aracılığıyla hedeflere bulaştığını ve diğer uç noktalara solucan olarak girdiğini, ancak daha sonra uykuda kaldığını belirtti.
Trend Micro’nun Aralık ayında yayınlanan bir araştırma raporuna göre, sonraki raporlar Raspberry Robin solucanının Avustralya, Avrupa ve Latin Amerika’daki telekomünikasyon şirketlerine ve hükümetlere karşı saldırılar başlatmak için 10 katman gizleme ve sahte yük eklediğini buldu.
Kısa bir süre sonra, IBM Security ve Microsoft Security Threat Intelligence Center (MSTIC) dahil olmak üzere diğer araştırmacıların dikkatini çekti; ikincisi, DEV-0856 takma adı altında Raspberry Robin solucanının operatörlerini izliyor.