Investigação descobre rede com 200 domínios maliciosos ligados ao Raspberry Robin

Uma nova investigação revelou quase 200 domínios únicos de comando e controle (C2) associados a um malware conhecido como Raspberry Robin.

“O Raspberry Robin (também conhecido como Roshtyak ou Storm-0856) é uma ameaça complexa e em constante evolução, que atua como um fornecedor de acesso inicial para diversos grupos hackers, muitos deles com ligações à Rússia”, afirmou a empresa Silent Push em um relatório.

Desde que surgiu em 2019, o malware tem sido utilizado como vetor inicial para diferentes tipos de malware, como SocGholish, Dridex, LockBit, IcedID, BumbleBee e TrueBot. Também é chamado de QNAP worm devido ao uso de dispositivos QNAP comprometidos para obter e distribuir as cargas maliciosas.

Com o passar dos anos, as cadeias de ataque do Raspberry Robin passaram a utilizar métodos adicionais de distribuição, como o envio de arquivos compactados e scripts do Windows via anexos em mensagens do serviço Discord, além do uso de explorações de dia zero (antes mesmo de serem divulgadas publicamente) para escalar privilégios localmente.

Há indícios de que o malware seja também comercializado como parte de uma botnet no modelo pay-per-install (PPI), permitindo que outros hackers o utilizem para distribuir malwares subsequentes.

Outra técnica adotada é a propagação por dispositivos USB infectados. A infecção ocorre quando um pen drive com um atalho do Windows (arquivo LNK), disfarçado como pasta, é conectado ao sistema da vítima, ativando o carregamento do malware.

O governo dos Estados Unidos revelou que um hacker vinculado ao Estado russo, rastreado como Cadet Blizzard, pode ter utilizado o Raspberry Robin como facilitador de acesso inicial.

A análise mais recente da Silent Push, em conjunto com o Team Cymru, identificou um endereço IP específico atuando como um retransmissor de dados entre todos os dispositivos QNAP comprometidos, o que levou à descoberta de mais de 180 domínios C2 exclusivos.

“A comunicação com esse IP era feita por meio da rede Tor, o que provavelmente permitia que os operadores da botnet enviassem novos comandos e interagissem com os dispositivos comprometidos”, afirmou a empresa. O IP usado para esse retransmissor estava localizado em um país da União Europeia.

Uma investigação mais aprofundada revelou que os domínios C2 utilizados pelo Raspberry Robin são curtos — como q2[.]rs, m0[.]wf, h0[.]wf e 2i[.]pm — e frequentemente rotacionados entre dispositivos e IPs comprometidos, utilizando a técnica de fast flux para dificultar sua derrubada.

Os principais domínios de nível superior (TLDs) usados incluem .wf, .pm, .re, .nz, .eu, .gy, .tw e .cx, e foram registrados em registradores pouco convencionais como Sarek Oy, 1API GmbH, NETIM, Epag.de, CentralNic Ltd e Open SRS. A maioria dos domínios C2 identificados usa servidores DNS de uma empresa búlgara chamada ClouDNS.

“O uso do Raspberry Robin por hackers ligados ao governo russo está alinhado com seu histórico de colaboração com diversos grupos cibercriminosos notórios, muitos deles com conexões à Rússia”, conclui o relatório. Entre esses grupos estão LockBit, Dridex, SocGholish, DEV-0206, Evil Corp (DEV-0243), Fauppod, FIN11, Clop Gang e Lace Tempest (TA505).

Via - THN