Cyberthreat.id – Perusahaan keamanan siber SEKOIA mengatakan bahwa analisis baru terhadap infrastruktur serangan Raspberry Robin telah mengungkapkan bahwa pelaku ancaman lain dapat menggunakan kembali infeksi untuk aktivitas jahat mereka sendiri, menjadikannya ancaman yang lebih kuat.

Raspberry Robin (alias worm QNAP), dikaitkan dengan aktor ancaman yang dijuluki DEV-0856, adalah malware yang semakin tidak terdeteksi karena digunakan dalam serangan yang ditujukan untuk entitas keuangan, pemerintah, asuransi, dan telekomunikasi.

“Mengingat penggunaannya oleh banyak aktor ancaman untuk menjatuhkan berbagai muatan seperti SocGholish, Bumblebee, TrueBot, IcedID, dan ransomware LockBit, ini diyakini sebagai botnet bayar-per-instal (PPI) yang mampu melayani malware tahap berikutnya,” ujar SEKOIA dalam analisis terbarunya, sesuai yang dikutip dari The Hacker News.

Menurut SEKOIA, Raspberry Robin, khususnya, menggunakan drive USB yang terinfeksi sebagai mekanisme propagasi dan memanfaatkan perangkat QNAP network-attached storage (NAS) yang dilanggar sebagai perintah-dan-kontrol (C2) tingkat pertama.

Bahkan, peneliti mereka telah mengidentifikasi setidaknya delapan server pribadi virtual (VPS) yang dihosting di Linode yang berfungsi sebagai lapisan C2 kedua yang kemungkinan bertindak sebagai proksi penerusan ke tingkat berikutnya yang belum diketahui.

"Setiap QNAP yang dikompromikan tampaknya bertindak sebagai validator dan pengirim," kata perusahaan yang berbasis di Prancis itu. "Jika permintaan yang diterima valid, itu dialihkan ke infrastruktur tingkat atas."

Rantai serangan dimulai saat pengguna memasukkan drive USB dan meluncurkan file pintasan Windows (.LNK), utilitas msiexec diluncurkan, yang, pada gilirannya, mengunduh muatan utama Raspberry Robin yang disamarkan dari instans QNAP.

Ketergantungan pada msiexec untuk mengirimkan permintaan HTTP untuk mengambil malware memungkinkan untuk membajak permintaan tersebut untuk mengunduh muatan MSI jahat lainnya baik dengan serangan pembajakan DNS atau membeli domain yang sebelumnya diketahui setelah kedaluwarsa. Salah satu domain tersebut adalah tiua[.]uk, yang didaftarkan pada awal kampanye pada akhir Juli 2021 dan digunakan sebagai C2 antara 22 September 2021 hingga 30 November 2022, ketika ditangguhkan oleh registri .UK .

“Dengan mengarahkan domain ini ke sinkhole kami, kami dapat memperoleh telemetri dari salah satu domain pertama yang digunakan oleh operator Raspberry Robin, masih mungkin untuk menggunakan kembali domain Raspberry Robin untuk kegiatan berbahaya,” kata SEKOIA.

SEKOIA mengatakan, gelombang pertama infeksi USB Raspberry Robin terjadi saat ini masih belum diketahui, meskipun diduga bahwa itu mungkin telah dicapai dengan mengandalkan malware lain untuk menyebarkan worm. Hipotesis ini dibuktikan dengan adanya modul penyebar .NET yang dikatakan bertanggung jawab untuk mendistribusikan file .LNK Raspberry Robin dari host yang terinfeksi ke drive USB. File .LNK ini kemudian mengkompromikan mesin lain melalui metode yang disebutkan di atas.

Perkembangan tersebut terjadi beberapa hari setelah Mandiant Google mengungkapkan bahwa grup Turla yang terkait dengan Rusia menggunakan kembali domain kadaluwarsa yang terkait dengan malware ANDROMEDA untuk mengirimkan alat pengintaian dan pintu belakang ke target yang dikompromikan oleh yang terakhir di Ukraina.

“Botnet melayani berbagai tujuan dan dapat digunakan kembali dan/atau diubah modelnya oleh operator mereka atau bahkan dibajak oleh kelompok lain dari waktu ke waktu,” kata para peneliti.