"Raspberry Robin" - это название, данное Red Canary кластеру активности, впервые замеченному в сентябре 2021 года с участием червя, который часто устанавливается через USB-накопитель. Этот кластер активности полагается на msiexec.exe для обращения к своей инфраструктуре, часто скомпрометированным устройствам QNAP, используя HTTP-запросы, содержащие имена пользователей и устройств жертвы. Red Canary также наблюдала, как Raspberry Robin использует выходные узлы TOR в качестве дополнительной инфраструктуры командования и управления (C2).
Raspberry Robin Worm IOCs
Червь Raspberry Robin часто появляется в виде ярлыка .lnk-файла, маскирующегося под легитимную папку на зараженном USB-устройстве. Вскоре после подключения зараженного Raspberry Robin накопителя к системе запись в реестре UserAssist обновляется и при расшифровке регистрирует выполнение зашифрованного ROT13 значения, ссылающегося на файл .lnk.
Сначала Raspberry Robin использует cmd для чтения и выполнения файла, хранящегося на зараженном внешнем диске. Затем cmd обычно запускает explorer.exe и msiexec.exe. В то время как msiexec загружает и выполняет легитимные пакеты установщика, Raspberry Robin использует msiexec, чтобы попытаться установить связь с вредоносным доменом по внешней сети в целях C2. В нескольких случаях обнаружения Raspberry Robin, Red Canary наблюдала, как msiexec устанавливает вредоносный DLL-файл.
Далее msiexec запускает легитимную утилиту Windows, fodhelper.exe, которая, в свою очередь, порождает rundll32.exe для выполнения вредоносной команды. Процессы, запускаемые fodhelper.exe, работают с повышенными административными привилегиями, не требуя приглашения User Account Control. Команда rundll32.exe запускает другую легитимную утилиту Windows, в данном случае odbcconf.exe, и передает дополнительные команды для выполнения и настройки недавно установленной вредоносной DLL. Наконец, исходящая C2-активность с участием процессов regsvr32.exe, rundll32.exe и dllhost.exe выполняется без параметров командной строки и создает внешние сетевые соединения с IP-адресами, связанными с узлами TOR.
Indicators of Compromise
IPv4
- 179.60.150.120
- 77.0.55.223
- 77.28.22.149
- 77.28.25.28
- 77.3.82.76
- 95.252.160.108
URLs
- http://3h.WF:8080/ZgMaAJK3xTC/LP079LLP=52284
- https://www.ivuoq6si2a.com/
Domains
- 0dz.me
- 0e.si
- 0t.yt
- 1j.pm
- 1k4.xyz
- 2j4.xyz
- 2yd.eu
- 3e.pm
- 3h.WF
- 4k1.xyz
- 4kx.xyz
- 4m.wf
- 4q.pm
- 4w.rs
- 5j8.xyz
- 5kx.me
- 5qw.pw
- 6id.xyz
- 6j2.xyz
- 6w.re
- 6xj.xyz
- 6y.re
- aij.hk
- as3.biz
- b8x.org
- b9.pm
- bimek.myftp.biz
- bpyo.in
- c4z.pl
- c7.lc
- chuzlyjftqntnfil.myfritz.net
- crypter.no-ip.org
- dj2.biz
- doem.re
- dynamic-077-000-055-223.77.0.pool.telefonica.de
- dynamic-077-003-082-076.77.3.pool.telefonica.de
- egso.net
- ej3.xyz
- euya.cn
- f0.tel
- fz.ms
- g4.wf
- glnj.nl
- gz3.nl
- host108-160-dynamic.252-95-r.retail.telecomitalia.it
- host-95-252-160-108.retail.telecomitalia.it
- i49.xyz
- i4x.xyz
- i6n.xyz
- ip-89-103-155-86.net.upcbroadband.cz
- iz.gy
- j2.gy
- j4r.xyz
- j4z.co
- j4z.xyz
- j68.info
- j8.si
- jjl.one
- jzm.pw
- k5j.one
- k5m.co
- k6c.org
- k6j.pw
- kglo.link
- kj1.xyz
- kjaj.top
- kr4.xyz
- krrz.pm
- l5k.xyz
- l9b.org
- lgf.pw
- lwip.re
- m0.wf
- mwgq.net
- mzjc.is
- n5.ms
- nt3.xyz
- nzm.one
- oaciytwbc13navpq.myfritz.net
- oj8.eu
- omzk.org
- p3.ms
- p9.tel
- pjz.one
- q2.rs
- qmpo.art
- r4e.pl
- r6.nz
- ri7.biz
- rx3.xyz
- s8.cx
- skqv.eu
- t7.nz
- tz6.org
- u0.pm
- ue2.eu
- uoej.net
- uqw.futbol
- uz3.me
- v0.cx
- vn6.co
- w4.wf
- w6.nz
- wak.rocks
- x4d0037df.dyn.telefonica.de
- x4d03524c.dyn.telefonica.de
- xhomecloud.ddns.net
- xjam.hk
- y3x.biz
- yuiw.xyz
- z7s.org
- zbs.is
- zk.qa
- zk4.me
- zk5.co
SHA256
- 1a5fcb209b5af4c620453a70653263109716f277150f0d389810df85ec0beac1