Raspberry Robin Worm IOCs - Part 5

security IOC

Как сообщалось ранее Red Canary, взломанные устройства QNAP использовались в качестве командно-контрольной (C2) инфраструктуры для деятельности Raspberry Robin. HTTP-запросы, содержащие имена пользователей и устройств жертвы, отправляются на устройство QNAP, а также размещают вредоносную DLL, которая загружается и устанавливается на систему жертвы.

Был проведен обзор доменов, связанных с компонентом QNAP Photo Station, для выявления вредоносных доменов, которые могут быть связаны с деятельностью Raspberry Robin. QNAP Photo Station содержит недавнюю уязвимость CVE-2022-27593, которая была добавлена в CISA Known Exploited Vulnerabilities Catalog 8 сентября 2022 года, но в настоящее время у нас нет доказательств того, что эти устройства были взломаны с помощью этой уязвимости или даже связаны с деятельностью Raspberry Robin.
Хотя не подтверждено, что все эти домены точно связаны с Raspberry Robin, домены имеют схожие соглашения об именах и регистраторах доменов, как это было в предыдущих отчетах о Raspberry Robin. Некоторые из этих подозреваемых доменов имеют связанные файлы вредоносного ПО в VT, подтверждающие обнаружение Raspberry Robin.

Raspberry Robin Worm IOCs

Indicators of Compromise

Domains

  • 0p.rs
  • 1u.wf
  • 2t.pm
  • 7d.wf
  • cb3u.com
  • d0.wf
  • n9fz.com
  • rn9v.com
  • u0.rs

URLs

  • http://2t.pm:8080/A1BRXca/vDrw4jy42cK4ROq15hZ/OTs/AZURE-PC
  • http://2t.pm:8080/A1BRXca/vDrw4jy42cK4ROq15hZ/OTs/DESKTOP-B0T93D6
  • http://2t.pm:8080/A1BRXca/vDrw4jy42cK4ROq15hZ/OTs/WALKER-PC
  • http://2t.pm:8080/BtyvF6xvjlVTfcF1waPfk5VRN77EYNSJgF/AZURE-PC
  • http://2t.pm:8080/BtyvF6xvjlVTfcF1waPfk5VRN77EYNSJgF/DESKTOP-B0T93D6
  • http://2t.pm:8080/BtyvF6xvjlVTfcF1waPfk5VRN77EYNSJgF/WALKER-PC
  • http://7d.wf:8080/BqB38MbxsJA7e7VyLVXGLi/AZURE-PC
  • http://7d.wf:8080/BqB38MbxsJA7e7VyLVXGLi/DESKTOP-B0T93D6
  • http://7d.wf:8080/BqB38MbxsJA7e7VyLVXGLi/WALKER-PC
  • http://7d.wf:8080/yk/BsCikF2yStfkkfnZorPrD/AZURE-PC
  • http://7d.wf:8080/yk/BsCikF2yStfkkfnZorPrD/DESKTOP-B0T93D6
  • http://7d.wf:8080/yk/BsCikF2yStfkkfnZorPrD/WALKER-PC
SEC-1275-1
Добавить комментарий