Raspberry Robin Worm IOCs - Part 2

"Raspberry Robin" - это название, данное Red Canary кластеру активности, впервые замеченному в сентябре 2021 года с участием червя, который часто устанавливается через USB-накопитель. Этот кластер активности полагается на msiexec.exe для обращения к своей инфраструктуре, часто скомпрометированным устройствам QNAP, используя HTTP-запросы, содержащие имена пользователей и устройств жертвы. Red Canary также наблюдала, как Raspberry Robin использует выходные узлы TOR в качестве дополнительной инфраструктуры командования и управления (C2).

Raspberry Robin Worm IOCs

Червь Raspberry Robin часто появляется в виде ярлыка .lnk-файла, маскирующегося под легитимную папку на зараженном USB-устройстве. Вскоре после подключения зараженного Raspberry Robin накопителя к системе запись в реестре UserAssist обновляется и при расшифровке регистрирует выполнение зашифрованного ROT13 значения, ссылающегося на файл .lnk.
Сначала Raspberry Robin использует cmd для чтения и выполнения файла, хранящегося на зараженном внешнем диске. Затем cmd обычно запускает explorer.exe и msiexec.exe. В то время как msiexec загружает и выполняет легитимные пакеты установщика, Raspberry Robin использует msiexec, чтобы попытаться установить связь с вредоносным доменом по внешней сети в целях C2. В нескольких случаях обнаружения Raspberry Robin, Red Canary наблюдала, как msiexec устанавливает вредоносный DLL-файл.
Далее msiexec запускает легитимную утилиту Windows, fodhelper.exe, которая, в свою очередь, порождает rundll32.exe для выполнения вредоносной команды. Процессы, запускаемые fodhelper.exe, работают с повышенными административными привилегиями, не требуя приглашения User Account Control. Команда rundll32.exe запускает другую легитимную утилиту Windows, в данном случае odbcconf.exe, и передает дополнительные команды для выполнения и настройки недавно установленной вредоносной DLL. Наконец, исходящая C2-активность с участием процессов regsvr32.exe, rundll32.exe и dllhost.exe выполняется без параметров командной строки и создает внешние сетевые соединения с IP-адресами, связанными с узлами TOR.

Indicators of Compromise

IPv4

  • 179.60.150.120
  • 77.0.55.223
  • 77.28.22.149
  • 77.28.25.28
  • 77.3.82.76
  • 95.252.160.108

URLs

  • http://3h.WF:8080/ZgMaAJK3xTC/LP079LLP=52284
  • https://www.ivuoq6si2a.com/

Domains

  • 0dz.me
  • 0e.si
  • 0t.yt
  • 1j.pm
  • 1k4.xyz
  • 2j4.xyz
  • 2yd.eu
  • 3e.pm
  • 3h.WF
  • 4k1.xyz
  • 4kx.xyz
  • 4m.wf
  • 4q.pm
  • 4w.rs
  • 5j8.xyz
  • 5kx.me
  • 5qw.pw
  • 6id.xyz
  • 6j2.xyz
  • 6w.re
  • 6xj.xyz
  • 6y.re
  • aij.hk
  • as3.biz
  • b8x.org
  • b9.pm
  • bimek.myftp.biz
  • bpyo.in
  • c4z.pl
  • c7.lc
  • chuzlyjftqntnfil.myfritz.net
  • crypter.no-ip.org
  • dj2.biz
  • doem.re
  • dynamic-077-000-055-223.77.0.pool.telefonica.de
  • dynamic-077-003-082-076.77.3.pool.telefonica.de
  • egso.net
  • ej3.xyz
  • euya.cn
  • f0.tel
  • fz.ms
  • g4.wf
  • glnj.nl
  • gz3.nl
  • host108-160-dynamic.252-95-r.retail.telecomitalia.it
  • host-95-252-160-108.retail.telecomitalia.it
  • i49.xyz
  • i4x.xyz
  • i6n.xyz
  • ip-89-103-155-86.net.upcbroadband.cz
  • iz.gy
  • j2.gy
  • j4r.xyz
  • j4z.co
  • j4z.xyz
  • j68.info
  • j8.si
  • jjl.one
  • jzm.pw
  • k5j.one
  • k5m.co
  • k6c.org
  • k6j.pw
  • kglo.link
  • kj1.xyz
  • kjaj.top
  • kr4.xyz
  • krrz.pm
  • l5k.xyz
  • l9b.org
  • lgf.pw
  • lwip.re
  • m0.wf
  • mwgq.net
  • mzjc.is
  • n5.ms
  • nt3.xyz
  • nzm.one
  • oaciytwbc13navpq.myfritz.net
  • oj8.eu
  • omzk.org
  • p3.ms
  • p9.tel
  • pjz.one
  • q2.rs
  • qmpo.art
  • r4e.pl
  • r6.nz
  • ri7.biz
  • rx3.xyz
  • s8.cx
  • skqv.eu
  • t7.nz
  • tz6.org
  • u0.pm
  • ue2.eu
  • uoej.net
  • uqw.futbol
  • uz3.me
  • v0.cx
  • vn6.co
  • w4.wf
  • w6.nz
  • wak.rocks
  • x4d0037df.dyn.telefonica.de
  • x4d03524c.dyn.telefonica.de
  • xhomecloud.ddns.net
  • xjam.hk
  • y3x.biz
  • yuiw.xyz
  • z7s.org
  • zbs.is
  • zk.qa
  • zk4.me
  • zk5.co

SHA256

  • 1a5fcb209b5af4c620453a70653263109716f277150f0d389810df85ec0beac1
SEC-1275-1
Добавить комментарий