Компания Red Canary подтвердила, что скомпрометированные устройства QNAP активно используются злоумышленниками в качестве командной инфраструктуры для распространения вредоносной программы Raspberry Robin. Согласно отчету, взломанные сетевые хранилища QNAP принимают HTTP-запросы, содержащие данные пользователей и устройств жертв, а также размещают вредоносные DLL-библиотеки, которые автоматически загружаются и устанавливаются в системы атакуемых организаций.
Описание
Эксперты провели анализ доменов, связанных с уязвимым компонентом QNAP Photo Station, чтобы выявить возможные связи с активностью Raspberry Robin. В частности, внимание специалистов привлекла недавно обнаруженная уязвимость CVE-2022-27593, которая была внесена в каталог Known Exploited Vulnerabilities (KEV) Агентства кибербезопасности и инфраструктуры США (CISA) еще в сентябре 2022 года. Однако на данный момент нет прямых доказательств того, что именно эта уязвимость была использована для компрометации устройств QNAP или что эти атаки имеют прямое отношение к Raspberry Robin.
Тем не менее, исследователи обнаружили ряд подозрительных доменов, которые имеют схожие паттерны именования и регистрации с теми, что ранее ассоциировались с деятельностью данной вредоносной кампании. Более того, некоторые из этих доменов уже зафиксированы в VirusTotal как связанные с вредоносными файлами Raspberry Robin. Это позволяет предположить, что злоумышленники могут расширять свою инфраструктуру, используя уязвимости в популярных сетевых устройствах.
Raspberry Robin известна как сложная угроза, которая часто используется для последующего внедрения других вредоносных программ, включая шпионские и шифровальщики. Ее распространение через взломанные устройства NAS делает атаки более скрытными, так как сетевые хранилища редко находятся под пристальным мониторингом систем защиты.
Пока QNAP не предоставила официального комментария относительно возможных мер по устранению угрозы. Однако пользователям рекомендуется проверить свои устройства на наличие обновлений безопасности и принять меры для предотвращения несанкционированного доступа.
Ситуация остается под пристальным наблюдением экспертов по кибербезопасности, которые продолжают анализировать активность Raspberry Robin и возможные пути ее распространения. В случае подтверждения новых данных о масштабах атаки или дополнительных уязвимостях, информация будет оперативно доведена до общественности.
Атаки через NAS-устройства подчеркивают важность регулярного обновления прошивок и использования комплексных решений безопасности, способных выявлять нестандартные активности в корпоративных сетях. В условиях роста сложности киберугроз раннее обнаружение и реагирование становятся ключевыми факторами защиты критически важной инфраструктуры.
Индикаторы компрометации
Domains
- 0p.rs
- 1u.wf
- 2t.pm
- 7d.wf
- cb3u.com
- d0.wf
- n9fz.com
- rn9v.com
- u0.rs
URLs
- http://2t.pm:8080/A1BRXca/vDrw4jy42cK4ROq15hZ/OTs/AZURE-PC
- http://2t.pm:8080/A1BRXca/vDrw4jy42cK4ROq15hZ/OTs/DESKTOP-B0T93D6
- http://2t.pm:8080/A1BRXca/vDrw4jy42cK4ROq15hZ/OTs/WALKER-PC
- http://2t.pm:8080/BtyvF6xvjlVTfcF1waPfk5VRN77EYNSJgF/AZURE-PC
- http://2t.pm:8080/BtyvF6xvjlVTfcF1waPfk5VRN77EYNSJgF/DESKTOP-B0T93D6
- http://2t.pm:8080/BtyvF6xvjlVTfcF1waPfk5VRN77EYNSJgF/WALKER-PC
- http://7d.wf:8080/BqB38MbxsJA7e7VyLVXGLi/AZURE-PC
- http://7d.wf:8080/BqB38MbxsJA7e7VyLVXGLi/DESKTOP-B0T93D6
- http://7d.wf:8080/BqB38MbxsJA7e7VyLVXGLi/WALKER-PC
- http://7d.wf:8080/yk/BsCikF2yStfkkfnZorPrD/AZURE-PC
- http://7d.wf:8080/yk/BsCikF2yStfkkfnZorPrD/DESKTOP-B0T93D6
- http://7d.wf:8080/yk/BsCikF2yStfkkfnZorPrD/WALKER-PC
