Experti odhalili ~200 unikátních C2 domén spojených s Raspberry Robin Access Brokerem

10 dubna, 2025

Nové vyšetřování odhalilo téměř 200 unikátních command-and-control (C2) domén spojených s malwarem nazývaným Raspberry Robin.

„Raspberry Robin (také známý jako Roshtyak nebo Storm-0856) je komplexní a vyvíjející se hrozba, která poskytuje služby zprostředkovatele počátečního přístupu (IAB) mnoha zločineckým skupinám, z nichž mnohé mají vazby na Rusko,“ uvedla společnost Silent Push.

Od svého objevení v roce 2019 se tento malware stal prostředníkem pro různé škodlivé kódy, jako jsou SocGholish, Dridex, LockBit, IcedID, BumbleBee a TrueBot. Je také označován jako QNAP worm kvůli využívání kompromitovaných zařízení QNAP k získání škodlivého kódu.

V průběhu let přidaly útoky Raspberry Robin nový distribuční mechanismus, který zahrnuje stahování prostřednictvím archivů a Windows Script Files zasílaných jako přílohy pomocí služby Discord. Kromě toho malware využívá jednodenní exploity k dosažení lokální eskalace oprávnění ještě před jejich veřejným odhalením.

Existují také důkazy naznačující, že malware je nabízen dalším aktérům jako botnet na bázi pay-per-install (PPI) pro doručování dalšího škodlivého softwaru.

Navíc infekce Raspberry Robin zahrnují mechanismus šíření přes USB, který spočívá v použití kompromitovaného USB disku obsahujícího Windows zástupce (LNK) maskovaného jako složka, aby se spustilo nasazení malwaru.

Americká vláda odhalila, že ruský státní aktér sledovaný pod názvem Cadet Blizzard mohl použít Raspberry Robin jako prostředek pro počáteční přístup.

Společnost Silent Push ve své nejnovější analýze provedené ve spolupráci s Team Cymru zjistil jednu IP adresu, která byla používána jako datový relé pro připojení všech kompromitovaných zařízení QNAP, což nakonec vedlo k objevení více než 180 unikátních C2 domén.

„Jednotlivá IP adresa byla připojena přes Tor relaye, což je pravděpodobně způsob, jakým operátoři sítě vydávali nové příkazy a komunikovali s kompromitovanými zařízeními,“ uvedla společnost. „IP adresa použitá pro tento relé byla umístěna v jedné zemi EU.“

Hlubší analýza infrastruktury odhalila, že C2 domény Raspberry Robin jsou krátké – např. q2[.]rs, m0[.]wf, h0[.]wf a 2i[.]pm – a že jsou rychle rotovány mezi kompromitovanými zařízeními a IP adresami pomocí techniky zvané fast flux, aby bylo obtížné je odstranit.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS

Zdroj: ICT NETWORK NEWS

Japonské konsorcium navrhuje plovoucí datové centrum v Jokohamě

Konsorcium japonských společností a finančních institucí plánuje vyvinout demonstrační projekt plovoucího datového centra u pobřeží Jokohamy v Japonsku. Konsorcium zahrnuje lodní společnost NYK Line, architektonickou

Číst dále »

18 dubna, 2025

Treasure Global Inc. vyvíjí AI cloudovou infrastrukturu v Malajsii

Treasure Global Inc. plánuje vyvinout a nasadit cloudovou infrastrukturu pro umělou inteligenci v Malajsii. Malajsijská technologická společnost odhalila své plány 24. března 2025 a zaměřuje

Číst dále »

18 dubna, 2025

Weby vydavatelství AVERIA LTD.: • ict-nn.com • b2b-nn.com • iot-nn.com • itsec-nn.com • netguru-nn.com • gamers-generation.com • ew-nn.com • rc-nn.com • dc-nn.com • cb-nn.com • sm-nn.com • cw-nn.com • egov-nn.com • kankry.cz • jobs-nn.com • zdravi-lide.cz

AVERIA.NEWS by AVERIA LTD. © 2024 – Osobní údaje – Cookies
AVERIA LTD., Company number 06972108, Enterprise House, 2 Pass Street, OL9 6HZ Manchester – Oldham, United Kingdom