el más reciente

― Advertisement ―

Relacionada

spot_img
HomeTecnologíaLos investigadores descubren ~ 200 dominios C2 únicos vinculados al corredor de...

Los investigadores descubren ~ 200 dominios C2 únicos vinculados al corredor de acceso Raspberry Robin

Una nueva investigación ha descubierto casi 200 dominios únicos de comando y control (C2) asociados con un malware llamado Raspberry Robin.

“Raspberry Robin (igualmente conocido como Roshtyak o Storm-0856) es un actor de amenazas enredado y en progreso que brinda servicios de corredor de entrada original (IAB) a numerosos grupos criminales, muchos de los cuales tienen conexiones con Rusia”, dijo Silent Push en un documentación compartido con las parte de los piratas informáticos.

Desde su aparición en 2019, el malware se ha convertido en un conducto para varias cepas maliciosas como Socgholish, Didex, Lockbit, IceDid, Bumblebee y TrueBot. Incluso se conoce como un helminto QNAP adecuado al uso de dispositivos QNAP comprometidos para recuperar la carga útil.

A lo espléndido de los primaveras, las cadenas de ataque de Raspberry Robin han unido un nuevo método de distribución que implica descargarlo a través de archivos y archivos de scripts de Windows enviados como archivos adjuntos utilizando el servicio de correo Discord, sin mencionar la adquisición de exploits de un día para ganar una subida de privilegios locales antaño de que se revelen públicamente.

Incluso hay alguna evidencia que sugiere que el malware se ofrece a otros actores como una botnet de suscripción por instalación (PPI) para entregar malware en la próxima etapa.

Por otra parte, las infecciones por robin de Raspberry han incorporado un mecanismo de propagación basado en USB que implica el uso de una mecanismo USB comprometida que contiene un archivo de entrada directo de Windows (LNK) disfrazado de carpeta para activar la implementación del malware.

Desde entonces, el gobierno de los Estados Unidos ha revelado que el actor de amenaza de estado-estado ruso rastreó como Cadet Blizzard puede favor usado Raspberry Robin como facilitador de entrada original.

Leer  Más de 1 millón de líneas de registro, las teclas secretas se filtraron

Silent Push, en su extremo disección realizado unido con Team Cymru, encontró una dirección IP que se estaba utilizando como un relé de datos para conectar todos los dispositivos QNAP comprometidos, lo que finalmente llevó al descubrimiento de más de 180 dominios C2 únicos.

“La dirección IP singular se conectó a través de Relés TOR, que probablemente es cómo los operadores de red emitieron nuevos comandos e interactuaron con dispositivos comprometidos”, dijo la compañía. “La IP utilizada para este relé se basó en un país de la UE”.

Una investigación más profunda de la infraestructura ha revelado que los dominios Raspberry Robin C2 son cortos (por ejemplo, Q2 (.) RS, M0 (.) WF, H0 (.) WF y 2I (.) PM, y que se rotan rápidamente entre los dispositivos comprometidos y a través de IPS utilizando una técnica convocatoria Flux rápido en un esfuerzo por hacer que los tome por tomarlos.

Algunos de los principales dominios de nivel superior de Raspberry Robin (TLDS) son .wf, .pm, .re, .nz, .eu, .gy, .tw y .cx, con dominios registrados utilizando registros de hornacina como Sarek Oy, 1api GmbH, Netim, Epag (.) De, Centralnic LTD, y Open SRS. La mayoría de los dominios C2 identificados tienen servidores de nombres en una compañía búlgara convocatoria CloudNS.

“El uso de Raspberry Robin por parte de los actores de amenaza del gobierno ruso se alinean con su historia de trabajar con innumerables actores de amenaza serias, muchos de los cuales tienen conexiones con Rusia”, dijo la compañía. “Estos incluyen Lockbit, Dridex, Socgholish, Dev-0206, Evil Corp (Dev-0243), Fauppod, Fin11, Clop Gang y Lace Tempest (TA505)”.

Leer  Rare Werewolf Apt utiliza software legítimo en ataques a cientos de empresas rusas

El más popular

spot_img