Un nuevo análisis de la infraestructura de ataque de Raspberry Robin ha reveló que es posible que otros actores de amenazas reutilicen las infecciones para sus propias actividades maliciosas, lo que las convierte en una amenaza aún más potente.
Raspberry Robin (también conocido como gusano QNAP), atribuido a un actor de amenazas denominado DEV-0856, es un malware que ha pasado cada vez más desapercibido por ser utilizado en ataques dirigidos a entidades financieras, gubernamentales, de seguros y de telecomunicaciones.
Dado su uso de múltiples actores de amenazas para lanzar una amplia gama de cargas útiles como SocGholish, Bumblebee, TrueBot, Iced IDy LockBit ransomware, se sospecha que es una red de bots de pago por instalación (PPI) capaz de servir cargas útiles de próxima etapa.
Raspberry Robin, en particular, emplea unidades USB infectadas como mecanismo de propagación y aprovecha los dispositivos de almacenamiento conectado a la red (NAS) de QNAP que han sido violados como comando y control de primer nivel (C2).
La firma de seguridad cibernética SEKOIA dijo que pudo identificar al menos ocho servidores privados virtuales (VPS) alojados en Linode que funcionan como una segunda capa C2 que probablemente actúe como proxy de reenvío al siguiente nivel aún desconocido.
«Cada QNAP comprometido parece actuar como validador y reenviador», dijo la compañía con sede en Francia. «Si la solicitud recibida es válida, se redirige a un nivel superior de infraestructura».
Por lo tanto, la cadena de ataque se desarrolla de la siguiente manera: cuando un usuario inserta la unidad USB e inicia un archivo de acceso directo de Windows (.LNK), el utilidad msiexec se inicia, que, a su vez, descarga la principal Carga útil ofuscada de Raspberry Robin desde la instancia de QNAP.
Esta dependencia de msiexec para enviar solicitudes HTTP para obtener el malware hace posible secuestrar dichas solicitudes para descargar otra carga útil de MSI maliciosa, ya sea mediante ataques de secuestro de DNS o comprando dominios previamente conocidos después de su vencimiento.
Uno de esos dominios es tiua[.]uk, que se registró en los primeros días de la campaña a fines de julio de 2021 y se usó como C2 entre el 22 de septiembre de 2021 y el 30 de noviembre de 2022, cuando fue suspendido por el registro .UK.
«Al apuntar este dominio a nuestro sumidero, pudimos obtener telemetría de uno de los primeros dominios utilizados por los operadores de Raspberry Robin», dijo la compañía, y agregó que observó a varias víctimas, lo que indica que «todavía era posible reutilizar un dominio de Raspberry Robin». por actividades maliciosas».
Los orígenes exactos de cómo se produjo la primera oleada de infecciones USB de Raspberry Robin siguen siendo desconocidos, aunque se sospecha que se pudo haber logrado confiando en otro malware para diseminar el gusano.
Esta hipótesis se evidencia por la presencia de un módulo esparcidor .NET que se dice que es responsable de distribuir los archivos .LNK de Raspberry Robin desde los hosts infectados a las unidades USB. Estos archivos .LNK posteriormente comprometen otras máquinas a través del método mencionado anteriormente.
El desarrollo se produce días después de que Mandiant de Google revelara que el grupo Turla vinculado a Rusia reutilizó dominios caducados asociados con el malware ANDROMEDA para entregar herramientas de reconocimiento y puerta trasera a objetivos comprometidos por este último en Ucrania.
«Los botnets tienen múltiples propósitos y pueden ser reutilizados y/o remodelados por sus operadores o incluso secuestrados por otros grupos con el tiempo», dijo el investigador.