Raspberry Robin, также известный как «червь QNAP», - это скрытный вредоносный червь, сочетающий существующие и новые методы проникновения и распространения вредоносного ПО в организационных сетях. Изначально он был обнаружен в конце 2023 года, а Microsoft обнаружила связанные с ним вредоносные артефакты уже в 2019 году. Несмотря на большое количество успешных заражений по всему миру, о целях и операторах Raspberry Robin было известно не так много. Однако было замечено, что он доставляет полезную нагрузку из различных семейств вредоносных программ.
Raspberry Robin Worm
Хотя первоначально сообщалось, что Raspberry Robin в первую очередь нацелен на технологическую и производственную отрасли, исследователи обнаружили, что вредоносная программа была нацелена на несколько секторов. Исследование Darktrace подтвердило наличие заражений в различных отраслях, включая правительство, финансы, производство, розничную торговлю, образование и транспорт.
Изначально доступ Raspberry Robin к взломанным сетям не предполагал доставки вредоносного ПО на финальной стадии или кражи корпоративных данных. Эта неопределенность заставила исследователей задуматься о том, является ли данная угроза простой игрой киберпреступников или же она представляет собой более серьезную опасность. Однако в конце июля 2022 года исследователи Microsoft обнаружили, что доступ, предоставляемый Raspberry Robin, был использован брокером под именем DEV-0206 для распространения загрузчика вредоносного ПО FakeUpdates. Далее исследователи обнаружили вредоносную активность, связанную с ТТП Evil Corp (т. е. DEV-0243), и полезные нагрузки из семейства вредоносных программ Fauppod, которые использовали доступ Raspberry Robin. Это позволяет предположить, что Raspberry Robin может выступать в качестве брокера первоначального доступа, используя свое присутствие в сотнях взломанных сетей для распространения дополнительных полезных нагрузок в интересах операторов вредоносного ПО.
С момента своего первого появления Raspberry Robin превратился из широко распространенного червя, после заражения которого не наблюдалось никакой активности, в одну из крупнейших платформ распространения вредоносного ПО, существующих в настоящее время. Вероятно, это связано с постоянным добавлением новых функций и возможностей уклонения в его вредоносную полезную нагрузку. Вредоносная программа изменила свои методы коммуникации и латерального перемещения, чтобы обойти анализ угроз, основанный на сигнатурах и предыдущих версиях. Поставщики средств защиты конечных точек описывают его как сильно обфусцированный с многоуровневыми техниками уклонения, такими как сброс поддельной полезной нагрузки при анализе в среде песочницы и использование команд, выполняемых в смешанных регистрах, чтобы избежать обнаружения строк, чувствительных к регистру.
В последних кампаниях Raspberry Robin, похоже, добавил новый способ распространения: он стал загружаться из архивных файлов, отправленных в виде вложений через службу обмена сообщениями Discord. Эти вложения содержат легитимные и подписанные исполняемые файлы Windows, часто используемые злоумышленниками для побочной загрузки, а также вредоносную библиотеку динамических ссылок (DLL), содержащую образец Raspberry Robin.
Еще одной причиной недавнего успеха этого вредоносного ПО может быть использование эксплойтов нулевого дня. Исследователи сообщили, что Raspberry Robin использует несколько эксплойтов для локального повышения привилегий, которые были раскрыты относительно недавно, еще до создания пробного образца. Эти эксплойты могут наделить вредоносную программу расширенными возможностями и дать ей преимущество в уклонении от обнаружения и распространении в сетях.
В целом Raspberry Robin представляет собой сложную и постоянную угрозу, которая требует от организаций усиления мер безопасности и бдительности в отношении эволюционирующих методов атак.
Indicators of Compromise
IPv4
- 114.32.120.11
- 203.186.28.189
- 59.15.11.49
- 70.124.238.72
- 73.6.9.83
- 82.124.243.57
Domains
- 0j.wf
- 4aw.ro
- 4j.pm
- 5ap.nl
- 5g7.at
- 5qe8.com
- 5qy.ro
- 6t.nz
- c4z.pl
- d0.wf
- e0.wf
- f0.tel
- fcgz.net
- g3.rs
- h0.pm
- m0.yt
- mwgq.net
- o7car.com
- vqdn.net
- wak.rocks
- y0.pm
- zk4.me