Investigasi baru telah menggali hampir 200 domain perintah dan kontrol unik (C2) yang terkait dengan malware yang disebut Raspberry Robin.
“Raspberry Robin (juga dikenal sebagai Roshttyak atau Storm-0856) adalah aktor ancaman yang kompleks dan berkembang yang menyediakan layanan broker akses awal (IAB) untuk banyak kelompok kriminal, banyak di antaranya memiliki koneksi ke Rusia,” kata Silent Push dalam laporan yang dibagikan dengan Hacker News.
Sejak munculnya pada tahun 2019, malware telah menjadi saluran untuk berbagai jenis berbahaya seperti Socgholish, Dridex, Lockbit, Icedid, Bumblebee, dan Truebot. Ini juga disebut sebagai cacing QNAP karena penggunaan perangkat QNAP yang dikompromikan untuk mengambil muatan.
Selama bertahun-tahun, rantai serangan Raspberry Robin telah menambahkan metode distribusi baru yang melibatkan mengunduhnya melalui arsip dan file skrip Windows yang dikirim sebagai lampiran menggunakan Perselisihan Layanan Pesan, belum lagi memperoleh eksploitasi satu hari untuk mencapai peningkatan hak istimewa lokal sebelum mereka diungkapkan secara publik.
Ada juga beberapa bukti yang menunjukkan bahwa malware ditawarkan kepada aktor lain sebagai botnet bayar per-instal (PPI) untuk mengirimkan malware tahap berikutnya.
Selain itu, infeksi raspberry robin telah menggabungkan mekanisme propagasi berbasis USB yang melibatkan penggunaan drive USB yang dikompromikan yang berisi file pintasan Windows (LNK) yang disamarkan sebagai folder untuk mengaktifkan penyebaran malware.
Pemerintah AS telah mengungkapkan bahwa aktor ancaman negara-bangsa Rusia yang dilacak sebagai kadet Blizzard mungkin telah menggunakan Raspberry Robin sebagai fasilitator akses awal.
Silent Push, dalam analisis terbarunya yang dilakukan bersama dengan tim Cymru, menemukan satu alamat IP yang digunakan sebagai relai data untuk menghubungkan semua perangkat QNAP yang dikompromikan, yang pada akhirnya mengarah pada penemuan lebih dari 180 domain C2 yang unik.
“Alamat IP tunggal terhubung melalui Tor Relays, yang kemungkinan bagaimana operator jaringan mengeluarkan perintah baru dan berinteraksi dengan perangkat yang dikompromikan,” kata perusahaan itu. “IP yang digunakan untuk relai ini berbasis di negara Uni Eropa.”
Investigasi infrastruktur yang lebih dalam telah mengungkapkan bahwa domain Raspberry Robin C2 pendek – misalnya, Q2[.]RS, M0[.]WF, H0[.]wf, dan 2i[.]PM – dan bahwa mereka diputar dengan cepat di antara perangkat yang dikompromikan dan melalui IPS menggunakan teknik yang disebut Fast Flux dalam upaya untuk membuatnya menantang untuk menjatuhkannya.
Beberapa domain tingkat atas raspberry raspberry teratas (TLD) adalah .wf, .pm, .re, .nz, .eu, .gy, .tw, dan .cx, dengan domain yang terdaftar menggunakan niche pendaftar seperti Sarek oy, 1api gmbh, netim, ePag[.]De, Centralnic Ltd, dan SRS Buka. Mayoritas domain C2 yang diidentifikasi memiliki server nama di perusahaan Bulgaria bernama Cloudns.
“Penggunaan Raspberry Robin oleh aktor ancaman pemerintah Rusia selaras dengan sejarahnya bekerja dengan banyak aktor ancaman serius lainnya, banyak di antaranya memiliki koneksi ke Rusia,” kata perusahaan itu. “Ini termasuk Lockbit, Dridex, Socgholish, Dev-0206, Evil Corp (Dev-0243), Fauppod, Fin11, Clop Gang, dan Lace Tempest (TA505).”
