Now Reading
Neue Begutachtung zeigt, dass Raspberry Robin von anderen Bedrohungsakteuren wiederverwendet werden kann

Neue Begutachtung zeigt, dass Raspberry Robin von anderen Bedrohungsakteuren wiederverwendet werden kann

Raspberry Robin

11. Januar 2023Ravie LakshmananCyberbedrohung / Schadsoftware

Eine neue Begutachtung jener Angriffsinfrastruktur von Raspberry Robin hat treulich, dass es anderen Bedrohungsakteuren möglich ist, die Infektionen zum Besten von ihre eigenen böswilligen Aktivitäten umzufunktionieren, welches sie zu einer noch stärkeren Gefahr macht.

Raspberry Robin (alias QNAP-Wurm), die einem Bedrohungsakteur namens DEV-0856 zugeschrieben wird, ist eine Schadsoftware, die zunehmend unter dies Radar geraten ist, weil sie unter Angriffen hinauf Finanz-, Regierungs-, Versicherungs- und Telekommunikationsunternehmen eingesetzt wird.

Da es mehrere Bedrohungsakteure verwendet, um eine Vielzahl von Nutzlasten wie SocGholish, Bumblebee, TrueBot, IcedID und LockBit-Ransomware zu löschen, wird vermutet, dass es sich um ein Pay-per-Install (PPI)-Botnetz handelt, dies Nutzlasten jener nächsten Stufe dienen kann.

Insbesondere Raspberry Robin verwendet infizierte USB-Laufwerke wie Verbreitungsmechanismus und nutzt verletzte NAS-Geräte (Network-Attached Storage) von QNAP wie First-Level-Command-and-Control (C2).

Dasjenige Cybersicherheitsunternehmen SEKOIA sagte, es sei in jener Standpunkt gewesen, mindestens acht hinauf Linode gehostete virtuelle private Server (VPSs) zu identifizieren, die wie zweite C2-Schicht fungieren und wahrscheinlich wie Weiterleitungs-Proxys zur nächsten noch unbekannten Pegel fungieren.

Himbeer Robin
Himbeer Robin

„Jedes kompromittierte QNAP scheint wie Validator und Forwarder zu fungieren“, sagte dies in Grande Nation ansässige Unternehmen. “Wenn die empfangene Fragestellung perfekt ist, wird sie an eine höhere Infrastrukturebene weitergeleitet.”

Die Angriffskette entfaltet sich mithin wie folgt: Wenn ein Benutzer dies USB-Laufwerk einsteckt und eine Windows-Verknüpfungsdatei (.LNK) startet, wird dies Hilfsprogramm msiexec gestartet, dies wiederum die verschleierte Hauptnutzlast von Raspberry Robin von jener QNAP-Instanz herunterlädt.

Solche Unselbständigkeit von msiexec zum Senden von Hypertext Transfer Protocol-Anforderungen zum Abrufen jener Schadsoftware macht es möglich, solche Anforderungen zum Herunterladen einer anderen betrügerischen MSI-Nutzlast entweder durch DNS-Hijacking-Angriffe oder durch den Kauf zuvor bekannter Domänen nachher deren Handlung zu kapern.

Eine solche Domain ist tiua[.]uk, dies in den frühen Tagen jener Kampagne Finale Juli 2021 registriert und zwischen dem 22. September 2021 und dem 30. November 2022 wie C2 verwendet wurde, wie es von jener .UK-Registrierung ausgesetzt wurde.

„Während wir ebendiese Domain hinauf unser Sinkhole verwiesen nach sich ziehen, konnten wir Telemetrie von einer jener ersten Domains erhalten, die von Raspberry Robin-Betreibern verwendet wurden“, sagte dies Unternehmen und fügte hinzu, es habe mehrere Todesopfer beobachtet und darauf hingewiesen, „es sei immer noch möglich, eine Raspberry Robin-Domain wiederzuverwenden zum Besten von böswillige Aktivitäten.”

Die genauen Ursprünge jener ersten Woge von Raspberry-Robin-USB-Infektionen sind derzeit noch unbekannt, obwohl vermutet wird, dass sie durch die Verbreitung des Wurms durch andere Schadsoftware erreicht wurde.

Himbeer Robin

Solche Modell wird durch dies Vorhandensein eines .NET-Spreader-Moduls belegt, dies zum Besten von die Verteilung von Raspberry Robin .LNK-Dateien von infizierten Hosts hinauf USB-Laufwerke zuständig sein soll. Solche .LNK-Dateien gefährden anschließend andere Computer droben die oben genannte Methode.

Die Entwicklungsprozess erfolgt Tage, nachdem Googles Mandiant veröffentlicht gegeben hat, dass die mit Russland verbundene Turla-Partie abgelaufene Domains wiederverwendet hat, die mit ANDROMEDA-Schadsoftware in Zusammenhang stillstehen, um Aufklärungs- und Backdoor-Tools an Ziele zu liefern, die von letzterer in jener Ukraine kompromittiert wurden.

„Botnetze eignen mehreren Zwecken und können von ihren Betreibern wiederverwendet und/oder umgestaltet oder im Laufe jener Zeit sogar von anderen Gruppen entführt werden“, sagte jener Forscher.

Fanden Sie diesen Beitrag interessant? Folge uns hinauf Twitter und LinkedIn, um weitere ohne Inhalte zu Vorlesung halten, die wir veröffentlichen.



What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top