Главная страница » Индикаторы компрометации
0
13 дней
Индикаторы компрометации

Raspberry Robin эволюционирует: усиленная обфускация и новые тактики уклонения

information security

С момента обнаружения в 2021 году вредоносный загрузчик Raspberry Robin (известный как Roshtyak) продолжает совершенствовать методы атак. Первоначально распространяясь через зараженные USB-носители, угроза демонстрирует адаптивность, внедряя сложные механизмы обфускации и шифрования. Примечательно, что после публикаций аналитиков разработчики оперативно модифицируют код, усложняя исследование.

Описание

Усовершенствованная обфускация

Главные изменения коснулись методов сокрытия логики. Во-первых, добавлены множественные инициализационные циклы в функции с уплощённым потоком управления. Этот подход затрудняет brute-force-дешифровку, увеличивая объём "мусорного" кода. Во-вторых, внедрена техника маскировки указателей стека, нарушающая работу декомпиляторов вроде IDA. Например, некорректная интерпретация значений вынуждает аналитиков вручную восстанавливать стек. Более того, условные операторы теперь дополнительно обфусцируются, что осложняет трассировку выполнения.

Пример новых запутанных указателей стека Raspberry Robin.

Сетевое взаимодействие и шифрование

Переход от AES-CTR к ChaCha-20 стал ключевым обновлением для защиты коммуникаций. При этом 32-байтовый ключ остаётся статичным, а счётчик и nonce генерируются случайно для каждого запроса. Дополнительно, RC4-ключи теперь включают рандомизированный seed в конце, а начальные значения CRC-64 варьируются между кампаниями. Структура данных перед шифрованием объединяет nonce и счётчик, обеспечивая уникальность сессий.

Динамическая генерация C2-доменов

С 2024 года Raspberry Robin внедрил алгоритмы для "исправления" некорректных TOR onion-доменов непосредственно во время выполнения. Интересно, что к 2025 году эти механизмы стали кастомизироваться для отдельных образцов. Встроенная логика динамически модифицирует домены, усложняя извлечение IOC. Например, Python-скрипты демонстрируют вариативность коррекции, где каждый экземпляр применяет уникальные правила трансформации строк.

Дополнительные модификации

Среди прочих нововведений выделяется ограничение времени жизни образцов: каждый содержит "срок годности" в одну неделю. Параллельно, для повышения привилегий эксплуатируется уязвимость CVE-2024-38196. Также изменена модель разделяемой памяти между основным и TOR-модулями: смещения данных теперь рандомизируются, препятствуя шаблонному анализу.

Заключение

Несмотря на меньшую медийность по сравнению с другими угрозами, Raspberry Robin остаётся значимым игроком благодаря постоянным улучшениям. Эволюция включает не только криптографические инновации, но и многослойную обфускацию, направленную на противодействие реверс-инжинирингу. Между тем, подобная адаптивность подчёркивает необходимость мониторинга подобных семейств.

Индикаторы компрометации

Onion Domain Port Combinations

  • 2fio6wjjlq4pihqf6qhefaqnkkfonkgbiu4uw3jvzhcuysejme4oxwyd.onion:6849
  • 3c6vus267hplojma4d3qckohjgxnhattb2vkkwcm6anilylzqkzdakad.onion:48285
  • 3gqcnr6wlxmv3dunl6rb4mcosa7ttedzbgya42burisj4qoeudl77nad.onion:40763
  • 3rp2g7y5jyalwmihkagfvwdh3fjvbecor3vz4j6vwaxdnmi6onf2hrid.onion:24849
  • 42lidqllkggf7tsgymwk4jzfmawdinwav5vkii3l3wsqcrk4k5ncrrad.onion:30971
  • 4l4abrrv5j7662dioqthd5fz5u4oxbpfradwt3ntliw2gfnikgers6qd.onion:35870
  • 4x34ze2b5l7fh5b4miyvkg44ohajj2pb7hcewt3jt3wlccfbezejrgyd.onion:61565
  • 5lqerrumqsknnphthjiwg45uas7xcer65am4vs7z4zheshmx6hxyh2yd.onion:33774
  • 5oiwshn53yari5pza6ca3rxctq47e4azf6wzsvyidmt3j55d5lf7rvyd.onion:54638
  • 6g6z6zsz7xc2ywqunbzzc4u2uv7yakc5aiaqbojbajmfioj3dfkzbnqd.onion:11703
  • 7gb5jc3mr32qqyae2s3o5r4fpima2cqpuogpbcmwk7wyvwmqxpr4wdid.onion:62326
  • 7jfv34s2axfur4euvzqzzowyqksby7hyt3sizuxvucxoc6ma46qjooqd.onion:37085
  • 7ray5zki7gjzms3bzbivwtcacyt4raaz6bixzmmgu6ljy5pjfpebowqd.onion:432
  • ag2qts4t6fy6x475c5xuknlwdugdoy33oueejdv5lkfavah73g6mvlyd.onion:4853
  • aqumyf4ecfgbxgcnrels2qd2cq5obbnwr4zr37cqw3tg7v5o6kuhqqyd.onion:37737
  • bpe2vrpvh5ri7odgbqxhr6mjaxe3zvekcexzdwpaiorq3xcbttrxywid.onion:22316
  • c5empmuptwtgmehonawb6pzd4ifupervyqduqpop2m3idsgbcwdtrdad.onion:53120
  • csn3i3femv6dx362p4qesombr3e7gm5skcxkuqrymuaxeqqwmnrnvxyd.onion:13609
  • cunm2jbjumfxl6tfrtzkmpk7h722oxxqqfaw2iinkalt7ijf77ch27qd.onion:10192
  • d4fsxtbvffjubsxmhczl6mt2wqukyao23vzi2dd7nahpcrwrhvkualid.onion:52210
  • d7qiqd6srhy4poo2q6vbn7bx4b2wl7nrclswfqprmldzuarbfz3rglid.onion:52295
  • d7qiqd6srhy4poo2q6vbn7bx4b2wl7nrclswfqprmldzuarbfz3rglid.onion:63185
  • daorqgcuse6jzt7r22si2q4t7rjz622vxd5xhq4v4rzcyukltnqg3pyd.onion:31817
  • df643p7juf4hhz3nqy4lychm2xslc645bozk3egqhsj46k6xqoy4xvad.onion:13201
  • el4ccbgrbeyqdc4vn74tdtfstksdmwj66qdi7e77vucafwvvm7ozvgad.onion:6212
  • g7w5uxhxw5mp5jmshvevd273qvkph2if5xnvrjemthe6ok5q5dtek4ad.onion:58387
  • glhdxhgiqrboqrgw2dmwutpocyilxxuahxc6v3lfpfxhihahw4tjfeid.onion:4647
  • gutayapi55tb5dmjhlmlwk3owg4aqy5fbyw7uk4skoagzv3le4ge6kad.onion:54050
  • ia5ynzyztblk7vde74szyhy6a7f57dqg6jvysnrm34fv2aivlcornzqd.onion:55782
  • ipatoez4ldch3vabmz6lcawxtoogkmg5alxvwdm7fwzng7flvlz47ryd.onion:45505
  • iz3iltwsdsaiqptqxba52bvwouzwoi56fw7vqbiw3znjo2jmifxmiuqd.onion:44714
  • j3w64lohpdl2fynduq7tey7v5kc5nfieblmi5g2znuadn75lkrgdi3yd.onion:33534
  • jsfnao46dnqos2avnrcvwlotr6xzqbp6uxfvl4mnkh6uyg6fch4bciqd.onion:56005
  • knvocjqt6znfp4lba3j237i5kjnxgmk6niqk72w3wb22bfif6i7wufad.onion:46367
  • kykggujjvvag7p4nmptsfuyqrqtqiqqun3pimsuupecmpoez2gph4vqd.onion:34469
  • mh3ibr5n4abi3fr3rlaar7wr3p2ptjrcon3jcp6tuqxscxfii4pegkid.onion:24793
  • ne2vesxuik5dkz4vynmfped6rjfsjehmkajhkcpcjr5m3c3hc5bx5oad.onion:27842
  • okindaw6oogkyrdjghbqdcmbcrxersox5yphfod2uy363g5go72tx7qd.onion:37435
  • oqki6m6qejavp7c5smafqa34locotxqbeh4scltzrhucgafykzzbh6ad.onion:1342
  • qtnf675tghndtnnrosx2lsrvktbq7iw3noetckags2fb2ci7cujzxfyd.onion:20325
  • r4gihskhiti437bonklmq24d6dl6swuw7zg5iseehjcepd3abbyyqsid.onion:62377
  • s54ui6ju3aa5w3anmo3lgwn53hm7us3lj5venw3eqyogoel6e6uv7fad.onion:14826
  • sgk5c76pgs7a3qfhzvmey2ecnunsfdbykgjxvunnbpnn3ixlu7a5eqyd.onion:57063
  • soraykkm25es2phzeszxpinfhcbqgyn7i4tznb4atvks3gnsynm7avad.onion:21586
  • tfjhxbhmr3vrmjrhc543npj4nk64jksodoclyjuqfn5aflmi44f657id.onion:29543
  • uxfjrthzy6c6a7d2zqk47x4ltjm6hmftbroghxk4vfjva6mftpsmkbyd.onion:49600
  • ves2owzq3uqyikb4zoeumzr4uxpi3twmy5qa5fdc4g7btpc43x5ahxyd.onion:9211
  • vvftwyeaxr3f32t3etseadhvfx42ylza5g5gpg3zqp3e46tie2w34iyd.onion:13066
  • werbjkqsmcugdcbdn5yvriyy6q4m2qfk3mg7cf6sujzandkwlsnlucid.onion:18703
  • wlfeie2rk6utw3y5aykjisr3yj6c7hme43st2weo4jmtok6zxw33hyad.onion:31059
  • wmdlzzdfkxikxrlw42rf75ug62semr3h6soc6tyoom3bb75zi7hjbrid.onion:3569
  • x76mtemtxl5fucgccu2nz4morfmpwwe44xp3ovkgsguzsntlh7ukn4id.onion:12656
  • xwm5hhm4oalqhe4u67dfsqovxygkxox4bleir4isyqpncskamxa7bead.onion:65293
  • xzxdiwnw354odly55y7twfrimzys5574eaw57ttetyyo4up5ww6v25ad.onion:20938
  • yo2a27uulrkraxfdwfcx7zokonpsux5qlufqsu7ial45uitm5v2seyyd.onion:60939
  • ysbbw6ghpxos5jzcmdjydrrl3clqdvwfygejrktre4bixr3zo63vk7yd.onion:9080
  • yuuexutjzjmul7wldcecq6mpr2v5dyblw5n77elnoikttxfk3y54gnad.onion:20247
  • z5qg6hpu7sxjyws2fqxei2peywu2tttq6lxs5ybxesgffqmjpedyeuyd.onion:37022
  • ztgk5ebmxcq3onksgg3guxpe4abz4cktcfa5lgubcgyde3ojkbvyjnad.onion:3574
  • ztnjv2hf4gxl7x7f27qhhfxehdd4cd6cdfwjw6u7njmqxjgllzm6kgid.onion:17249

SHA256

  • 05c6f53118d363ee80989ef37cad85ee1c35b0e22d5dcebd8a6d6a396a94cb65
  • 5b0476043da365be5325260f1f0811ea81c018a8acc9cee4cd46cb7348c06fc6
Комментарии: 0
Похожие записи
0
12.07.2024
Индикаторы компрометации

Brass Typhoon (APT41) APT IOCs - Part 6

security
В апреле 2024 года специалисты Zscaler ThreatLabz обнаружили новый загрузчик под названием DodgeBox, представляющий собой обновленную и усовершенствованную версию StealthVector, инструмента, ранее использовавшегося
0
10.11.2022
Индикаторы компрометации

Взломанные устройства QNAP стали инструментом для распространения вредоносного ПО Raspberry Robin

security
Компания Red Canary подтвердила, что скомпрометированные устройства QNAP активно используются злоумышленниками в качестве командной инфраструктуры для распространения вредоносной программы Raspberry Robin.