Nel mondo della sicurezza informatica, il malware noto come Raspberry Robin sta facendo parlare di sé con una nuova scoperta: circa 200 domini unici di comando e controllo (C2) sono stati associati a questo broker di accesso. Raspberry Robin, conosciuto anche come Roshtyak o Storm-0856, opera dal 2019 fornendo servizi di broker di accesso iniziale a diversi gruppi criminali, molti dei quali con legami in Russia. Questo malware è noto per essere un vettore di distribuzione per altri malware pericolosi come SocGholish, Dridex, LockBit e altri ancora. La sua evoluzione nel tempo ha visto l'aggiunta di metodi di distribuzione innovativi, come il download tramite file di archivio e script di Windows inviati come allegati attraverso Discord. Inoltre, ha iniziato ad utilizzare exploit di un giorno per ottenere l'escalation dei privilegi prima della divulgazione pubblica.

Propagazione e Meccanismi di Attacco

Un altro aspetto cruciale del suo funzionamento è l'uso di meccanismi di propagazione basati su USB che sfruttano unità compromesse contenenti file di scorciatoia di Windows mascherati da cartelle. Gli attacchi di Raspberry Robin sono stati anche collegati a un attore di minacce statale russo noto come Cadet Blizzard, che potrebbe utilizzare questo malware come facilitatore di accesso iniziale.

Analisi e Scoperta

Attraverso un'analisi condotta da Silent Push e Team Cymru, è stato scoperto che un indirizzo IP fungeva da relay dati per collegare tutti i dispositivi QNAP compromessi, portando all'identificazione di oltre 180 domini C2 unici. Questi domini, spesso brevi come q2[.]rs o m0[.]wf, vengono rapidamente ruotati tra dispositivi compromessi utilizzando una tecnica chiamata fast flux, che rende difficile la loro eliminazione. Le estensioni di dominio più comuni includono .wf, .pm, .re, e altre, con molti domini registrati tramite registrar di nicchia.

Collaborazioni e Implicazioni

L'utilizzo di Raspberry Robin da parte di attori di minacce governativi russi si allinea con il suo storico di collaborazioni con altri attori di minacce significativi collegati alla Russia, come LockBit e Dridex. Questa scoperta non solo mette in luce la complessità e l'adattabilità di Raspberry Robin, ma evidenzia anche la continua necessità di vigilanza nella sicurezza informatica per proteggere sistemi e dati sensibili da minacce sempre più sofisticate.