Как сообщалось ранее Red Canary, взломанные устройства QNAP использовались в качестве командно-контрольной (C2) инфраструктуры для деятельности Raspberry Robin. HTTP-запросы, содержащие имена пользователей и устройств жертвы, отправляются на устройство QNAP, а также размещают вредоносную DLL, которая загружается и устанавливается на систему жертвы.
Был проведен обзор доменов, связанных с компонентом QNAP Photo Station, для выявления вредоносных доменов, которые могут быть связаны с деятельностью Raspberry Robin. QNAP Photo Station содержит недавнюю уязвимость CVE-2022-27593, которая была добавлена в CISA Known Exploited Vulnerabilities Catalog 8 сентября 2022 года, но в настоящее время у нас нет доказательств того, что эти устройства были взломаны с помощью этой уязвимости или даже связаны с деятельностью Raspberry Robin.
Хотя не подтверждено, что все эти домены точно связаны с Raspberry Robin, домены имеют схожие соглашения об именах и регистраторах доменов, как это было в предыдущих отчетах о Raspberry Robin. Некоторые из этих подозреваемых доменов имеют связанные файлы вредоносного ПО в VT, подтверждающие обнаружение Raspberry Robin.
Raspberry Robin Worm IOCs
- Raspberry Robin Worm IOCs - Part 1
- Raspberry Robin Worm IOCs - Part 2
- Raspberry Robin (Roshtyak) - Part 3
- Raspberry Robin Worm IOCs - Part 4
Indicators of Compromise
Domains
- 0p.rs
- 1u.wf
- 2t.pm
- 7d.wf
- cb3u.com
- d0.wf
- n9fz.com
- rn9v.com
- u0.rs
URLs
- http://2t.pm:8080/A1BRXca/vDrw4jy42cK4ROq15hZ/OTs/AZURE-PC
- http://2t.pm:8080/A1BRXca/vDrw4jy42cK4ROq15hZ/OTs/DESKTOP-B0T93D6
- http://2t.pm:8080/A1BRXca/vDrw4jy42cK4ROq15hZ/OTs/WALKER-PC
- http://2t.pm:8080/BtyvF6xvjlVTfcF1waPfk5VRN77EYNSJgF/AZURE-PC
- http://2t.pm:8080/BtyvF6xvjlVTfcF1waPfk5VRN77EYNSJgF/DESKTOP-B0T93D6
- http://2t.pm:8080/BtyvF6xvjlVTfcF1waPfk5VRN77EYNSJgF/WALKER-PC
- http://7d.wf:8080/BqB38MbxsJA7e7VyLVXGLi/AZURE-PC
- http://7d.wf:8080/BqB38MbxsJA7e7VyLVXGLi/DESKTOP-B0T93D6
- http://7d.wf:8080/BqB38MbxsJA7e7VyLVXGLi/WALKER-PC
- http://7d.wf:8080/yk/BsCikF2yStfkkfnZorPrD/AZURE-PC
- http://7d.wf:8080/yk/BsCikF2yStfkkfnZorPrD/DESKTOP-B0T93D6
- http://7d.wf:8080/yk/BsCikF2yStfkkfnZorPrD/WALKER-PC