Фірма з кібербезпеки Silent Push виявила майже 200 унікальних доменів управління та контролю (C2), пов’язаних із шкідливим програмним забезпеченням Raspberry Robin.
Це відкриття проливає нове світло на інфраструктуру, яка використовується цією складною групою дійових осіб, яка еволюціонувала від USB-хробака до потужного брокера початкового доступу (IAB) для різних кіберзлочинних організацій, у тому числі суб’єктів, які спонсоруються російською державою.
Співпраця розкриває складну мережу
Дослідження Silent Push, проведене спільно з Team Cymru, накреслило інфраструктуру C2 Raspberry Robin, виявивши єдину IP-адресу, яка з’єднує всю мережу скомпрометованих пристроїв.
Цей висновок має вирішальне значення для розуміння діяльності групи та потенційних вразливостей у її комунікаційному ланцюзі.
Зловмисне угруповання, також відоме як Роштяк або Шторм-0856, діє з 2019 року та суттєво змінило свою тактику.
Спочатку поширюючись через заражені USB-накопичувачі в друкарнях і копіювальних магазинах, Raspberry Robin тепер націлений на захищені корпоративні мережі, продаючи доступ іншим групам загроз, зокрема підрозділу 29155 російського ГРУ.
Потік атаки Raspberry Robin
Розвиток методології атак і глобальний охоплення
Методи атаки Raspberry Robin з часом урізноманітнилися.
Останні спостереження включають використання архівних файлів, що поширюються через вкладення Discord, веб-завантаження файлів сценаріїв Windows і використання N-денних уразливостей у пристроях QNAP та IoT.
Ця здатність до адаптації дозволила групі зберегти глобальну присутність, повідомляючи про жертви в різних галузях і країнах.
Інфраструктура групи значною мірою покладається на скомпрометовані пристрої QNAP та IoT, використовуючи мережу дволітерних доменів верхнього рівня (TLD) із нижчою репутацією та кілька нішевих реєстраторів.
Домени верхнього рівня (TLD) для Raspberry Robin
Цей підхід у поєднанні з використанням Tor для зв’язку створює значні проблеми для захисників і правоохоронних органів, які намагаються перешкодити їхнім операціям.
Дослідження Silent Push підкреслюють важливість спільних зусиль у відстеженні та пом’якшенні таких загроз, як Raspberry Robin.
Оскільки група продовжує розвиватися та надавати послуги різним суб’єктам загрози, включно з державними організаціями, співтовариство кібербезпеки має залишатися пильним і ділитися розвідданими для ефективної боротьби з цією постійною загрозою.