25 mars 2025Ravie LakshmananIntelligence de menace / logiciels malveillants

Une nouvelle enquête a découvert près de 200 domaines de commande et de contrôle (C2) uniques associés à un malware appelé Robin de framboise.

“Raspberry Robin (également connu sous le nom de Roshtyak ou Storm-0856) est un acteur de menace complexe et évolutif qui fournit des services de courtier à accès initial (IAB) à de nombreux groupes criminels, dont beaucoup ont des liens avec la Russie”, Silent Push dit Dans un rapport partagé avec le Hacker News.

Depuis son émergence En 2019, le malware est devenu un conduit pour diverses souches malveillantes comme Socgholish, Dridex, Lockbit, Icedid, Bumblebee et Truebot. Il est également appelé ver QNAP en raison de l’utilisation de périphériques QNAP compromis pour récupérer la charge utile.

Cybersécurité

Au fil des ans, les chaînes d’attaque de Raspberry Robin ont ajouté une nouvelle méthode de distribution qui implique le téléchargement via des archives et des fichiers de script Windows envoyés comme des pièces jointes à l’aide de la discorde du service de messagerie, sans parler de l’acquisition d’exploits d’un jour pour réaliser l’escalade locale de privilèges avant d’être divulgués publiquement.

Il existe également des preuves suggérant que le malware est proposé à d’autres acteurs en tant que botnet de paiement à perplexité (PPI) pour livrer des logiciels malveillants à la prochaine étape.

De plus, les infections à Raspberry Robin ont incorporé un mécanisme de propagation basé sur USB qui implique l’utilisation d’un lecteur USB compromis contenant un fichier de raccourci Windows (LNK) déguisé en dossier pour activer le déploiement du malveillant.

Le gouvernement américain a depuis révélé que l’acteur de la menace russe de l’État-nation a suivi comme le cadet blizzard pourrait avoir utilisé Raspberry Robin comme facilitateur d’accès initial.

Silent Push, dans sa dernière analyse entrepris avec l’équipe Cymru, a trouvé une adresse IP qui était utilisée comme relais de données pour connecter tous les dispositifs QNAP compromis, conduisant finalement à la découverte de plus de 180 domaines C2 uniques.

“L’adresse IP singulière a été connectée via les relais Tor, ce qui explique comment les opérateurs de réseau ont publié de nouvelles commandes et interagi avec des appareils compromis”, a déclaré la société. “La propriété intellectuelle utilisée pour ce relais était basée dans un pays de l’UE.”

Cybersécurité

Une enquête plus approfondie de l’infrastructure a révélé que les domaines de Raspberry Robin C2 sont courts – par exemple, Q2[.]RS, M0[.]WF, H0[.]wf et 2i[.]pm – et qu’ils sont rapidement tournés entre les dispositifs compromis et via des IP en utilisant un technique appelé flux rapide Dans un effort pour le rendre difficile à les abattre.

Certains des meilleurs domaines de niveau supérieur Robin (TLD) sont .wf, .pm, .re, .nz, .eu, .gy, .tw et .cx, avec des domaines enregistrés à l’aide de registraires de niche comme Sarek Oy, 1API GMBH, NETIM, EPAG[.]DE, Centralnic Ltd et Open SRS. La majorité des domaines C2 identifiés ont des serveurs de noms sur une entreprise bulgare nommée CloudNS.

“L’utilisation de Raspberry Robin par les acteurs de la menace du gouvernement russe s’aligne sur son histoire de travail avec d’innombrables autres acteurs de menace sérieux, dont beaucoup ont des liens avec la Russie”, a indiqué la société. “Il s’agit notamment de Lockbit, Dridex, Socgholish, Dev-0206, Evil Corp (Dev-0243), Fauppod, Fin11, Clop Gang et Lace Tempest (TA505).”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57