Un nuevo an\u00e1lisis de la infraestructura de ataque de Raspberry Robin ha revel\u00f3<\/a> que es posible que otros actores de amenazas reutilicen las infecciones para sus propias actividades maliciosas, lo que las convierte en una amenaza a\u00fan m\u00e1s potente.<\/p>\n Raspberry Robin (tambi\u00e9n conocido como gusano QNAP), atribuido a un actor de amenazas denominado DEV-0856, es un malware que ha pasado cada vez m\u00e1s desapercibido por ser utilizado en ataques dirigidos a entidades financieras, gubernamentales, de seguros y de telecomunicaciones.<\/p>\n Dado su uso de m\u00faltiples actores de amenazas para lanzar una amplia gama de cargas \u00fatiles como SocGholish, Bumblebee, TrueBot, Iced ID<\/a>y LockBit ransomware, se sospecha que es una red de bots de pago por instalaci\u00f3n (PPI) capaz de servir cargas \u00fatiles de pr\u00f3xima etapa.<\/p>\n Raspberry Robin, en particular, emplea unidades USB infectadas como mecanismo de propagaci\u00f3n y aprovecha los dispositivos de almacenamiento conectado a la red (NAS) de QNAP que han sido violados como comando y control de primer nivel (C2).<\/p>\n La firma de seguridad cibern\u00e9tica SEKOIA dijo que pudo identificar al menos ocho servidores privados virtuales (VPS) alojados en Linode que funcionan como una segunda capa C2 que probablemente act\u00fae como proxy de reenv\u00edo al siguiente nivel a\u00fan desconocido.<\/p>\n “Cada QNAP comprometido parece actuar como validador y reenviador”, dijo la compa\u00f1\u00eda con sede en Francia. “Si la solicitud recibida es v\u00e1lida, se redirige a un nivel superior de infraestructura”.<\/p>\n Por lo tanto, la cadena de ataque se desarrolla de la siguiente manera: cuando un usuario inserta la unidad USB e inicia un archivo de acceso directo de Windows (.LNK), el utilidad msiexec<\/a> se inicia, que, a su vez, descarga la principal Carga \u00fatil ofuscada de Raspberry Robin<\/a> desde la instancia de QNAP.<\/p>\n Esta dependencia de msiexec para enviar solicitudes HTTP para obtener el malware hace posible secuestrar dichas solicitudes para descargar otra carga \u00fatil de MSI maliciosa, ya sea mediante ataques de secuestro de DNS o comprando dominios previamente conocidos despu\u00e9s de su vencimiento.<\/p>\n Uno de esos dominios es tiua[.]uk, que se registr\u00f3 en los primeros d\u00edas de la campa\u00f1a a fines de julio de 2021 y se us\u00f3 como C2 entre el 22 de septiembre de 2021 y el 30 de noviembre de 2022, cuando fue suspendido por el registro .UK.<\/p>\n “Al apuntar este dominio a nuestro sumidero, pudimos obtener telemetr\u00eda de uno de los primeros dominios utilizados por los operadores de Raspberry Robin”, dijo la compa\u00f1\u00eda, y agreg\u00f3 que observ\u00f3 a varias v\u00edctimas, lo que indica que “todav\u00eda era posible reutilizar un dominio de Raspberry Robin”. por actividades maliciosas”.<\/p>\n Los or\u00edgenes exactos de c\u00f3mo se produjo la primera oleada de infecciones USB de Raspberry Robin siguen siendo desconocidos, aunque se sospecha que se pudo haber logrado confiando en otro malware para diseminar el gusano.<\/p>\n Esta hip\u00f3tesis se evidencia por la presencia de un m\u00f3dulo esparcidor .NET que se dice que es responsable de distribuir los archivos .LNK de Raspberry Robin desde los hosts infectados a las unidades USB. Estos archivos .LNK posteriormente comprometen otras m\u00e1quinas a trav\u00e9s del m\u00e9todo mencionado anteriormente. <\/p>\n El desarrollo se produce d\u00edas despu\u00e9s de que Mandiant de Google revelara que el grupo Turla vinculado a Rusia reutiliz\u00f3 dominios caducados asociados con el malware ANDROMEDA para entregar herramientas de reconocimiento y puerta trasera a objetivos comprometidos por este \u00faltimo en Ucrania.<\/p>\n “Los botnets tienen m\u00faltiples prop\u00f3sitos y pueden ser reutilizados y\/o remodelados por sus operadores o incluso secuestrados por otros grupos con el tiempo”, dijo el investigador.<\/p>\n <\/p>\n![\"petirrojo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1673467291_66_Un-nuevo-analisis-revela-que-Raspberry-Robin-puede-ser-reutilizado.png\" "\\"petirrojo")
<\/div>\n![\"petirrojo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1673467291_173_Un-nuevo-analisis-revela-que-Raspberry-Robin-puede-ser-reutilizado.png\" "\\"petirrojo")
<\/div>\n![\"petirrojo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1673467291_453_Un-nuevo-analisis-revela-que-Raspberry-Robin-puede-ser-reutilizado.png\" "\\"petirrojo")
<\/div>\n