Un nuevo análisis de la infraestructura de ataque de Raspberry Robin ha revelado que es posible que otros actores de amenazas reutilicen las infecciones para sus propias actividades maliciosas, lo que la convierte en una amenaza aún más potente.
Raspberry Robin (también conocido como gusano QNAP), atribuido a un actor de amenazas denominado DEV-0856, es un malware que ha estado cada vez más bajo el radar por ser utilizado en ataques dirigidos a entidades financieras, gubernamentales, de seguros y de telecomunicaciones.
Dado su uso por múltiples actores de amenazas para lanzar una amplia gama de cargas útiles como SocGholish, Bumblebee, TrueBot, IcedID y LockBit ransomware, se cree que es una botnet de pago por instalación (PPI) capaz de servir malware en la siguiente etapa.
Raspberry Robin, en particular, emplea unidades USB infectadas como mecanismo de propagación y aprovecha los dispositivos de almacenamiento conectado a la red (NAS) de QNAP violados como comando y control de primer nivel (C2).
La firma de ciberseguridad SEKOIA dijo que pudo identificar al menos ocho servidores privados virtuales (VPS) alojados en Linode que funcionan como una segunda capa C2 que probablemente actúe como proxies hacia adelante al siguiente nivel aún desconocido.
“Cada QNAP comprometido parece actuar como un validador y reenviador”, dijo la compañía con sede en Francia. “Si la solicitud recibida es válida, se redirige a un nivel superior de infraestructura”.
Por lo tanto, la cadena de ataque se desarrolla de la siguiente manera: Cuando un usuario inserta la unidad USB e inicia un acceso directo de Windows (. LNK), se ejecuta la utilidad msiexec, que, a su vez, descarga la carga útil principal ofuscada de Raspberry Robin desde la instancia de QNAP.
Esta dependencia de msiexec para enviar solicitudes HTTP para obtener el malware hace posible secuestrar dichas solicitudes para descargar otra carga útil MSI deshonesta, ya sea mediante ataques de secuestro de DNS o comprando dominios previamente conocidos después de su vencimiento.
Uno de esos dominios es tiua[.] uk, que se registró en los primeros días de la campaña a fines de julio de 2021 y se usó como C2 entre el 22 de septiembre de 2021 y el 30 de noviembre de 2022, cuando fue suspendido por el registro .UK.
“Al apuntar este dominio a nuestro sumidero, pudimos obtener telemetría de uno de los primeros dominios utilizados por los operadores de Raspberry Robin”, dijo la compañía, y agregó que observó a varias víctimas, lo que indica que “todavía era posible reutilizar un dominio de Raspberry Robin para actividades maliciosas”.
Los orígenes exactos de cómo tuvo lugar la primera ola de infecciones USB de Raspberry Robin siguen siendo actualmente desconocidos, aunque se sospecha que se pudo haber logrado confiando en otro malware para diseminar el gusano.
Esta hipótesis se evidencia por la presencia de un módulo spreader .NET que se dice que es responsable de distribuir Raspberry Robin. LNK de hosts infectados a unidades USB. Estos. Los archivos LNK posteriormente comprometen otras máquinas a través del método mencionado anteriormente.
El desarrollo se produce días después de que Mandiant de Google revelara que el grupo Turla, vinculado a Rusia, reutilizó dominios caducados asociados con el malware ANDROMEDA para entregar herramientas de reconocimiento y puerta trasera a objetivos comprometidos por este último en Ucrania.
“Las botnets sirven para múltiples propósitos y pueden ser reutilizadas y / o remodeladas por sus operadores o incluso secuestradas por otros grupos con el tiempo”, dijeron los investigadores.