Eine neue Analyse der Angriffsinfrastruktur von Raspberry Robin hat ergeben, dass es anderen Bedrohungsakteuren möglich ist, die Infektionen für ihre eigenen bösartigen Aktivitäten umzuwandeln, was sie zu einer noch stärkeren Bedrohung macht.
Raspberry Robin (auch bekannt als QNAP-Wurm), der einem Bedrohungsakteur namens DEV-0856 zugeschrieben wird, ist eine Malware, die zunehmend für Angriffe auf Finanz-, Regierungs-, Versicherungs- und Telekommunikationsunternehmen eingesetzt wird.
Da mehrere Bedrohungsakteure eine Vielzahl von Nutzdaten wie SocGholish, Bumblebee, TrueBot, IcedID und LockBit Ransomware absetzen, besteht der Verdacht, dass es sich um ein Pay-per-Install (PPI) Botnet handelt, das in der Lage ist, Nutzdaten der nächsten Stufe zu versenden.
Raspberry Robin verwendet infizierte USB-Laufwerke als Verbreitungsmechanismus und nutzt angegriffene QNAP Network-Attached-Storage (NAS)-Geräte als Command-and-Control (C2) der ersten Ebene.
Die Cybersecurity-Firma SEKOIA konnte mindestens acht Virtual Private Server (VPS) auf Linode identifizieren, die als zweite C2-Ebene fungieren und wahrscheinlich als Forward Proxies zur nächsten, noch unbekannten Ebene fungieren.
„Jeder kompromittierte QNAP scheint als Validator und Forwarder zu fungieren“, so das in Frankreich ansässige Unternehmen. „Wenn die empfangene Anfrage gültig ist, wird sie an eine höhere Ebene der Infrastruktur weitergeleitet.
Die Angriffskette läuft also folgendermaßen ab: Wenn ein Nutzer das USB-Laufwerk einsteckt und eine Windows-Verknüpfungsdatei (.LNK) startet, wird das Dienstprogramm msiexec gestartet, das wiederum die verschleierte Raspberry Robin Nutzlast von der QNAP-Instanz herunterlädt.
Dadurch, dass msiexec HTTP-Anfragen sendet, um die Malware zu holen, ist es möglich, diese Anfragen zu missbrauchen, um eine andere bösartige MSI-Nutzlast herunterzuladen, entweder durch DNS-Hijacking-Angriffe oder durch den Kauf bereits bekannter Domains nach deren Ablauf.
Eine dieser Domains ist tiua[.]uk, die in den ersten Tagen der Kampagne Ende Juli 2021 registriert und zwischen dem 22. September 2021 und dem 30. November 2022, als sie von der .UK-Registrierungsstelle gesperrt wurde, als C2 verwendet wurde.
„Indem wir diese Domain auf unser Sinkhole zeigten, konnten wir Telemetriedaten von einer der ersten Domains erhalten, die von Raspberry-Robin-Betreibern genutzt wurden“, sagte das Unternehmen und fügte hinzu, dass es mehrere Opfer beobachtete, was darauf hindeutet, dass „es immer noch möglich war, eine Raspberry-Robin-Domain für bösartige Aktivitäten zu nutzen“.
Der genaue Ursprung der ersten Welle von Raspberry Robin USB-Infektionen ist derzeit noch unbekannt, obwohl vermutet wird, dass die Verbreitung des Wurms durch andere Malware erfolgt sein könnte.
Diese Hypothese wird durch das Vorhandensein eines .NET-Verbreitungsmoduls untermauert, das für die Verteilung von Raspberry Robin .LNK-Dateien von infizierten Hosts auf USB-Laufwerke verantwortlich sein soll. Diese .LNK-Dateien kompromittieren anschließend andere Rechner über die oben beschriebene Methode.
Diese Entwicklung kommt nur wenige Tage, nachdem Googles Mandiant aufgedeckt hat, dass die russische Turla-Gruppe abgelaufene Domains im Zusammenhang mit der ANDROMEDA-Malware wiederverwendet hat, um Aufklärungs- und Backdoor-Tools an Ziele in der Ukraine zu liefern, die von dieser Malware kompromittiert wurden.
„Botnets dienen mehreren Zwecken und können von ihren Betreibern wiederverwendet und/oder umgestaltet oder sogar von anderen Gruppen gekapert werden“, so der Forscher.