Investigadores descubren 200 dominios C2 únicos vinculados a Raspberry Robin Access Broker

Una nueva investigación ha revelado cerca de 200 dominios únicos de comando y control (C2) asociados con un malware conocido como Raspberry Robin.

«Raspberry Robin (también llamado Roshtyak o Storm-0856) es un actor de amenazas complejo y en evolución que proporciona servicios de corredor de acceso inicial (IAB, por sus siglas en inglés) a varios grupos criminales, muchos de los cuales tienen vínculos con Rusia», señaló Silent Push en un informe.

Desde su aparición en 2019, este malware ha servido como canal para la distribución de diversas amenazas como SocGholish, Dridex, LockBit, IcedID, BumbleBee y TrueBot. También se le conoce como un gusano de QNAP, ya que utiliza dispositivos QNAP comprometidos para obtener y distribuir su carga maliciosa.

A lo largo del tiempo, las cadenas de ataque de Raspberry Robin han evolucionado para incluir nuevas técnicas de distribución. Entre ellas, la descarga a través de archivos comprimidos y Windows Script Files (WSF) enviados como adjuntos mediante el servicio de mensajería Discord. Además, los operadores del malware han aprovechado vulnerabilidades de día uno para escalar privilegios localmente antes de que estas fueran divulgadas públicamente.

También hay indicios de que este malware es ofrecido a otros actores maliciosos bajo un modelo de botnet de pago por instalación (PPI), permitiendo la entrega de software malicioso en etapas posteriores.

Por otra parte, Raspberry Robin ha implementado un mecanismo de propagación mediante dispositivos USB infectados. Este método consiste en utilizar una memoria USB comprometida que contiene un archivo de acceso directo de Windows (LNK) disfrazado de carpeta, con el objetivo de activar la instalación del malware.

El gobierno de los Estados Unidos ha revelado que un actor de amenazas vinculado al Estado ruso, identificado como Cadet Blizzard, podría haber utilizado Raspberry Robin como una herramienta de acceso inicial.

En su más reciente análisis, llevado a cabo en conjunto con Team Cymru, Silent Push identificó una dirección IP utilizada como relé de datos para conectar todos los dispositivos QNAP comprometidos, lo que permitió el hallazgo de más de 180 dominios únicos de C2.

«Esta dirección IP estaba conectada a través de relés de Tor, lo que probablemente permitió a los operadores de la red emitir nuevos comandos e interactuar con los dispositivos comprometidos», explicó la compañía. «La dirección IP utilizada para este relé estaba ubicada en un país de la Unión Europea».

Un análisis más profundo de la infraestructura reveló que los dominios C2 de Raspberry Robin son de corta longitud (por ejemplo, q2[.]rs, m0[.]wf, h0[.]wf, 2i[.]pm) y que estos se rotan rápidamente entre dispositivos comprometidos mediante direcciones IP utilizando una técnica conocida como fast flux, diseñada para dificultar su eliminación.

Algunos de los principales dominios de nivel superior (TLDs) asociados con Raspberry Robin incluyen .wf, .pm, .re, .nz, .eu, .gy, .tw y .cx. Además, los dominios han sido registrados a través de registradores menos comunes como Sarek Oy, 1API GmbH, NETIM, Epag[.]de, CentralNic Ltd y Open SRS. La mayoría de los dominios C2 identificados tienen servidores de nombres en una empresa búlgara llamada ClouDNS.

«El uso de Raspberry Robin por parte de actores de amenazas del gobierno ruso concuerda con su historial de colaboración con numerosos grupos de cibercriminales altamente peligrosos, muchos de los cuales tienen conexiones con Rusia», explicó la compañía. «Entre estos grupos se encuentran LockBit, Dridex, SocGholish, DEV-0206, Evil Corp (DEV-0243), Fauppod, FIN11, Clop Gang y Lace Tempest (TA505)».

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/KdHY8EXqhAUCVp8kcum4QL
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *