Raspberry Robin: Эволюция угрозы в киберпространстве
Источник: www.silentpush.com
Raspberry Robin, также известный как Roshtyak или Storm-0856, представляет собой развивающегося хакера, который привлек внимание благодаря своему участию в предоставлении услуг брокера начального доступа (IAB) различным преступным группировкам. Его связи с российским военным разведывательным управлением (ГРУ), и в частности с подразделением 29155, подчеркивают важность этой киберугрозы в мировом киберпространстве.
Вредоносное ПО и его развитие
С момента своего появления в 2019 году, вредоносное ПО, связанное с Raspberry Robin, претерпело значительную эволюцию:
- Первоначальные методы заражения с использованием «плохих USB» были заменены более сложными атаками, нацеленными на корпоративную инфраструктуру.
- Недавние исследования выявили около 200 уникальных доменов управления (C2), используемых Raspberry Robin, что демонстрирует разнообразие IP-адресов и соглашений об именовании.
- Домены C2 часто работают в доменах верхнего уровня (TLD) с низкой репутацией и размещаются на серверах имен ClouDNS, что затрудняет их отслеживание.
Методы распространения и атаки
Вредоносная программа обычно распространяется через зараженные USB-накопители, которые маскируют вредоносные файлы Windows. Это облегчает несанкционированный доступ к корпоративным сетям:
- Зараженные USB-накопители активируют полезную нагрузку, устанавливающую соединение с серверами C2.
- Это зачастую приводит к дальнейшим атакам, использующим уязвимости N-day в устройствах, таких как QNAP NAS и продукты Интернета вещей.
Стратегия группы и динамика атак
Динамика работы Raspberry Robin указывает на использование модели ботнета с оплатой за установку для распространения вредоносных программ, включая программы-вымогатели. Хакер показал способность быстро менять домены и поддерживать постоянный доступ через скомпрометированную инфраструктуру. Эволюция вредоносного ПО демонстрирует:
- Мгновенное развертывание последующей полезной нагрузки всего через несколько секунд после первоначального заражения.
- Использование современных эксплойтов, что позволяет злоумышленнику эффективно использовать известные уязвимости.
Это подчеркивает сети взаимозависимостей между различными хакерами в теневой экономике.
География атак и влияние на разные сектора
С 2022 по 2024 годы география атак Raspberry Robin изменилась: первоначальные цели в Латинской Америке расширились на сектора, включая финансы, розничную торговлю и образование по всему миру.
В связи с этим организации должны проявлять бдительность к признакам атак Raspberry Robin, особенно в контексте операций с программами-вымогателями, которые на первый взгляд могут не быть связаны с этим хакером.
Необходимость сотрудничества в кибербезопасности
Для борьбы с угрозами, исходящими от Raspberry Robin, необходимо широкое сотрудничество между:
- Исследователями кибербезопасности.
- Правоохранительными органами.
- Правозащитниками.
Это сотрудничество направлено на повышение осведомленности об атаках, обмен разведданными и разработку превентивных мер против множества сложных атак. Постоянное отслеживание доменов Raspberry Robin C2 и обмен результатами в сообществе кибербезопасности являются решающими для уничтожения инфраструктуры и возможностей этого опасного хакера.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
