Raspberry Robin Worm IOCs

Как сообщалось ранее Red Canary, взломанные устройства QNAP использовались в качестве командно-контрольной (C2) инфраструктуры для деятельности Raspberry Robin. HTTP-запросы, содержащие имена пользователей и устройств жертвы, отправляются на устройство QNAP, а также размещают вредоносную DLL, которая загружается и устанавливается на систему жертвы.

Содержание

Был проведен обзор доменов, связанных с компонентом QNAP Photo Station, для выявления вредоносных доменов, которые могут быть связаны с деятельностью Raspberry Robin. QNAP Photo Station содержит недавнюю уязвимость CVE-2022-27593, которая была добавлена в CISA Known Exploited Vulnerabilities Catalog 8 сентября 2022 года, но в настоящее время у нас нет доказательств того, что эти устройства были взломаны с помощью этой уязвимости или даже связаны с деятельностью Raspberry Robin.
Хотя не подтверждено, что все эти домены точно связаны с Raspberry Robin, домены имеют схожие соглашения об именах и регистраторах доменов, как это было в предыдущих отчетах о Raspberry Robin. Некоторые из этих подозреваемых доменов имеют связанные файлы вредоносного ПО в VT, подтверждающие обнаружение Raspberry Robin.

Indicators of Compromise

Domains

0p.rs
1u.wf
2t.pm
7d.wf
cb3u.com
d0.wf
n9fz.com
rn9v.com
u0.rs

URLs

http://2t.pm:8080/A1BRXca/vDrw4jy42cK4ROq15hZ/OTs/AZURE-PC
http://2t.pm:8080/A1BRXca/vDrw4jy42cK4ROq15hZ/OTs/DESKTOP-B0T93D6
http://2t.pm:8080/A1BRXca/vDrw4jy42cK4ROq15hZ/OTs/WALKER-PC
http://2t.pm:8080/BtyvF6xvjlVTfcF1waPfk5VRN77EYNSJgF/AZURE-PC
http://2t.pm:8080/BtyvF6xvjlVTfcF1waPfk5VRN77EYNSJgF/DESKTOP-B0T93D6
http://2t.pm:8080/BtyvF6xvjlVTfcF1waPfk5VRN77EYNSJgF/WALKER-PC
http://7d.wf:8080/BqB38MbxsJA7e7VyLVXGLi/AZURE-PC
http://7d.wf:8080/BqB38MbxsJA7e7VyLVXGLi/DESKTOP-B0T93D6
http://7d.wf:8080/BqB38MbxsJA7e7VyLVXGLi/WALKER-PC
http://7d.wf:8080/yk/BsCikF2yStfkkfnZorPrD/AZURE-PC
http://7d.wf:8080/yk/BsCikF2yStfkkfnZorPrD/DESKTOP-B0T93D6
http://7d.wf:8080/yk/BsCikF2yStfkkfnZorPrD/WALKER-PC