Una nueva investigación ha identificado casi 200 dominios de comando y control (C2) vinculados con el malware Raspberry Robin, también conocido como Roshtyak o Storm-0856.
Raspberry Robin: Un actor de amenazas en evolución
Según un informe de Silent Push, compartido con The Hacker News, Raspberry Robin es un actor de amenazas sofisticado que actúa como un corredor de acceso inicial (IAB) para diversos grupos de ciberdelincuencia, muchos de ellos con conexiones en Rusia.
Desde su aparición en 2019, este malware se ha convertido en un vector de distribución de diversas cepas maliciosas, como:
- SocGholish
- Dridex
- LockBit
- IcedID
- BumbleBee
- TrueBot
Debido a su forma de propagación, también se le conoce como gusano de QNAP, ya que utiliza dispositivos QNAP comprometidos para desplegar su carga maliciosa.
Nuevas tácticas y métodos de distribución
Con el paso del tiempo, las cadenas de ataque de Raspberry Robin han evolucionado. Ahora, los ciberdelincuentes han incorporado nuevas tácticas de distribución, incluyendo:
- Descarga a través de archivos y scripts maliciosos de Windows enviados mediante Discord.
- Uso de exploits de día cero para escalada de privilegios antes de que sean divulgados públicamente.
- Modelo de botnet de pago por instalación (PPI), permitiendo a otros actores de amenazas utilizar su infraestructura para distribuir malware adicional.
- Propagación vía dispositivos USB comprometidos, con archivos LNK disfrazados de carpetas que activan la infección.
Relación con actores de amenazas rusos
Investigaciones recientes del gobierno de EE.UU. sugieren que el grupo de amenazas Cadet Blizzard, vinculado al gobierno ruso, podría estar utilizando Raspberry Robin para acceder a sistemas comprometidos.
El análisis conjunto de Silent Push y Team Cymru reveló una dirección IP utilizada como relé de datos para conectar los dispositivos QNAP comprometidos, lo que llevó al descubrimiento de más de 180 dominios C2 únicos.
Características de la infraestructura C2 de Raspberry Robin
Los dominios de Raspberry Robin presentan características distintivas:
- Dominios cortos y rotativos: ejemplos incluyen q2[.]rs, m0[.]wf, h0[.]WF, y 2i[.]pm.
- Uso de la técnica fast flux, que rota los dominios entre diferentes dispositivos comprometidos y direcciones IP para dificultar su eliminación.
- Principales dominios de nivel superior (TLD) usados:
- .wf, .pm, .re, .nz, .eu, .gy, .tw, .cx
- Registros a través de registradores de nicho como Sarek Oy, 1API GmbH, NETIM, Epag[.]de, CentralNic Ltd y Open SRS.
- Servidores de nombres alojados en la empresa ClouDNS de Bulgaria.
Conexiones con otros grupos de ciberdelincuentes
El uso de Raspberry Robin por actores de amenazas vinculados a Rusia coincide con la colaboración de estos grupos con otros actores maliciosos, como:
- LockBit
- Dridex
- SocGholish
- DEV-0206
- Evil Corp (DEV-0243)
- Fauppod
- FIN11
- Clop Gang
- Lace Tempest (TA505)
En conclusión, el malware Raspberry Robin sigue evolucionando y representando una amenaza significativa para la seguridad cibernética global. Su conexión con grupos de amenazas avanzadas y el uso de tácticas evasivas refuerzan la importancia de implementar medidas de seguridad robustas.
Para prevenir infecciones:
- Evitar conectar dispositivos USB desconocidos.
- Supervisar el tráfico de red para detectar dominios C2 sospechosos.
- Actualizar sistemas y parches de seguridad para mitigar vulnerabilidades explotadas por el malware.
Con este hallazgo, las organizaciones y los investigadores de seguridad pueden seguir rastreando y neutralizando la infraestructura de Raspberry Robin antes de que cause mayores daños.
Fuente: The Hacker News
