Raspberry Robin: Mối Đe Dọa Độc Hại và Biện Pháp Phòng Ngừa

26/03/2025
2 mins read

Kết quả chính

  1. Phần mềm độc hại Raspberry Robin:
    • Raspberry Robin, còn được biết đến với tên gọi Roshtyak hoặc Storm-0856, là một trong những mối đe dọa phức tạp và đang phát triển, cung cấp dịch vụ truy cập ban đầu (IAB) cho nhiều nhóm tội phạm, nhiều trong số đó có liên hệ với Nga.
  2. Khám phá tên miền C2:
    • Cuộc điều tra mới phát hiện gần 200 tên miền C2 độc nhất liên quan đến Raspberry Robin. Những tên miền này được sử dụng để kiểm soát và quản lý các thiết bị bị xâm phạm.
  3. Chi tiết hạ tầng:
    • Các tên miền C2 đều ngắn gọn và sử dụng các tên miền cấp cao (TLD) có uy tín thấp như .wf, .pm, .re, .nz, .eu, .gy, .tw, và .cx. Chúng được đăng ký thông qua các nhà đăng ký nhỏ như Sarek Oy, 1API GmbH, NETIM, Epag[.]de, CentralNic Ltd, và Open SRS.
  4. Thông tin máy chủ tên miền:
    • Hầu hết các tên miền C2 được xác định đều có máy chủ tên miền trên ClouDNS, một công ty Bulgaria có máy chủ đặt trên toàn cầu.
  5. Kết nối với GRU của Nga:
    • Việc sử dụng Raspberry Robin bởi các tác nhân đe dọa của chính phủ Nga phù hợp với lịch sử làm việc với các tác nhân đe dọa nghiêm trọng khác, trong đó nhiều nhóm có liên hệ với Nga, bao gồm LockBit, Dridex, SocGholish, DEV-0206, Evil Corp (DEV-0243), Fauppod, FIN11, Clop Gang, và Lace Tempest (TA505).
  6. Các phương pháp lây nhiễm:
    • Các lây nhiễm của Raspberry Robin đã bao gồm nhiều phương pháp lây lan khác nhau, bao gồm:
    • Tải xuống qua các tệp nén và Windows Script Files được gửi như tệp đính kèm qua dịch vụ nhắn tin Discord.
    • Sử dụng một ổ USB bị xâm phạm chứa tệp rút gọn (LNK) được ngụy trang như một thư mục để kích hoạt việc triển khai malware.
  7. Địa chỉ IP và Tor Relays:
    • Địa chỉ IP duy nhất được sử dụng làm điểm chuyển tiếp dữ liệu để kết nối tất cả các thiết bị QNAP bị xâm phạm thông qua các Tor relays, làm cho việc dỡ bỏ hạ tầng C2 trở nên khó khăn.
  8. Biện pháp giảm thiểu:
    • Việc hợp tác rộng rãi giữa các công ty bảo vệ điểm cuối, các nhà bảo vệ và các đối tác nghiên cứu rất quan trọng để khám phá thêm về mối đe dọa đang diễn ra này và cuối cùng là ngăn chặn nó. Việc theo dõi liên tục và cập nhật các biện pháp bảo mật là rất cần thiết để giảm thiểu tác động của Raspberry Robin.

Ví dụ thực tiễn

  1. Lây nhiễm qua USB:
    • Ví dụ thực tiễn về cách Raspberry Robin lây lan là thông qua việc sử dụng một ổ USB bị xâm phạm. Phần mềm độc hại sẽ được kích hoạt khi người dùng mở tệp rút gọn (LNK) được ngụy trang như một thư mục, từ đó triển khai phần mềm độc hại.
  2. Phân phối qua Discord:
    • Một ví dụ khác là phân phối Raspberry Robin qua Discord. Malware được tải xuống qua các tệp nén và Windows Script Files được gửi làm tệp đính kèm, khiến nó khó phát hiện hơn.
  3. Kỹ thuật Fast Flux:
    • Kỹ thuật fast flux được sử dụng để nhanh chóng đổi giữa các thiết bị và địa chỉ IP bị xâm phạm, khiến cho việc dỡ bỏ các tên miền C2 trở nên khó khăn. Điều này bao gồm việc liên tục thay đổi các địa chỉ IP liên kết với các tên miền để tránh bị phát hiện.