我們在 2022 年 3 月首次報告 QNAPWorm 後,這種惡意軟件以 Raspberry Robin 之名登上了媒體頭條。從那以後,微軟、Secureworks 和 Avast 等幾家安全供應商調查了這種惡意軟件,認為它與臭名昭著的俄羅斯網絡犯罪團夥 EvilCorp 有關,這個團夥對 Dridex 木馬及其他惡意軟件以及至少自 2014 年以來的幾次以牟利為目的的高調活動負責。
Raspberry Robin 簡介
先簡單介紹一下,Raspberry Robin 是一種惡意軟件,通過受感染的 U 盤下載,還可能通過網絡共享下載。攻擊想法很簡單:受感染的設備含有 LNK 文件(Windows 快捷方式)。用戶插入 U 盤、啟動僞裝成 U 盤或網絡共享的 LNK 後,它會啟動 Windows 實用程序 msiexec。
一旦執行,由于參數中指定的 URL, msiexec 随後會從受攻擊的 QNAP 實例中下載在 MSI(Windows 安裝包)中打包的 Raspberry Robin 的主組件。這個過程可以用下圖來表示:
圖 1
Raspberry Robin 的主組件是一個複雜的惡意軟件變種,SEKOIA.IO 的分析師在 2022 年初曾試圖進行逆向工程分析,但未能如願以償。據 Avast 的研究顯示,它有 14 層混淆機制,使用 TOR 聚合(rendez-vous)進行通信,并使用創新的方法在受攻擊系統上保持不被檢測出來。隻有幾個特别之處讓防禦者得以揪出網絡中的 Raspberry Robin,比如所投放文件的文件擴展名、與可供辨别的 URL 模式相關的 MSI 執行、rundll32 參數或從特定工作站連接到 TOR 節點。
正如我們的少數客戶最初假設的那樣,Raspberry Robin 似乎是一種按安裝付費的僵屍網絡,很可能被網絡犯罪分子用來在受感染傳統上傳播其他惡意軟件,比如挖币軟件以及其他後門程序(比如 SocGholish、Bumblebee、TrueBot 或 IcedID),這些最終導緻需要操作鍵盤(hands-on-keyboard)的勒索軟件部署。
去年,SEKOIA.IO 的分析師觀察到 Raspberry Robin 在多個場合部署 SocGholish。SocGholish 是微軟 JScript 驗證器,通過借助惡意廣告活動的網絡浏覽器虛假更新來廣泛部署。然而在這些場合下,Raspberry Robin 在知名的客戶網絡中完成 MSI 執行後,SocGholish 直接部署,如下圖所示。
圖 2
微軟研究人員報告遇到了一條類似的感染鍊,并聲稱這些 SocGholish 實例導緻通過 C2 框架在網絡内部橫向移動,然後是需要操作鍵盤的勒索軟件部署。在 SEKOIA.IO 的分析師确認的場合下,感染在 SocGholish 執行階段就停止了,因為它被反病毒引擎檢測了出來。
Raspberry Robin 基礎設施
自我們的第一份網絡威脅情報 Flash 報告(FLINT)發布之後,我們決定将研究重點放在 msiexec 聯系以下載含有 Raspberry Robin 主組件的惡意 MSI 包的基礎設施上。從第一份 FLINT 發現的十幾個域名開始,我們在 2022 年底檢索到自 2021 年 7 月該僵屍網絡創建以來這種入侵手法使用了 270 多個域名。
Raspberry Robin 使用通過域名解析的受攻擊的 QNAP 網絡附加存儲(NAS),作為其第一個 C2 級别。每個受攻擊的 QNAP 似乎都充當了驗證器和轉發器。如果收到的請求有效,請求被重定向到基礎設施的上層。
感謝 CYMRU S2 團隊的同仁,我們得以發現了基礎設施的第二層。這層由至少 8 個 VPS 組成,托管在 Linode 上。SEKOIA.IO 的分析師估計,這些 VPS 很可能被用作轉發代理,轉發到基礎設施的下一層。然而截止本文發稿時,我們無法确定這下一層。這些 VPS 有相同的配置,其中兩個 VPS 由受攻擊的 QNAP 通過端口 20001 來聯系。SEKOIA.IO 的分析師認為它們與同一套基礎設施有關聯,把握很大。
圖 3
在調查過程中,在通過 QNAP 配置和相關的 *.myqnapcloud.com 域名識别出其中一家受攻擊的組織後,我們還考慮使用物理設備(比如與 Raspberry Pi)來複制法國境内其中一個受攻擊的 QNAP 的流量。即使确定了受害者的身份,并成功聯系上了對方,我們觀察到攻擊者沒過幾天就丢棄了這個受攻擊的 QNAP 實例:解析這個 QNAP 實例的所有域名轉而解析其他受攻擊的 QNAP 實例。
這是 Raspberry Robin 的一個特别之處:其基礎設施的域名解析不斷變化,從一個受攻擊的 QNAP 變成另一個。每天都完成幾十次新的解析,新的受攻擊 QNAP 每天都在出現,從運營團夥的角度來看,這減少了它被察覺的風險。
下圖顯示了基礎設施在 2022 年 12 月 15 日至 2022 年 12 月 31 日期間的變化。在此期間,有 80 個新的 QNAP 實例受攻擊,活動域名對 DNS 解析進行了 1154 次更改。
圖 4
局部端掉
值得注意的是,在 2022 年 10 月 26 日,該僵屍網絡被局部端掉,導緻通過 namecheap.com 注冊的大約 80 個域名被停用,這些域名約占 Raspberry Robin 使用的域名總量的 30%。這些域名的 DNS 區域被删除,标記 clientHold 和 clienttransferbanned 被添加到了狀态碼中,導緻僵屍網絡運營團夥完全不知所措。
圖 5
Raspberry Robin 迎來第二春
已發現的 Raspberry Robin 蠕蟲的弱點之一是依賴 msiexec 下載和執行主載荷,并沒有實施控制機制來确保載荷來自可信來源。因此,任何能夠劫持 msiexec 執行的請求的人都可以讓受害者下載另一個非法的 MSI 載荷。這主要可以通過 DNS 劫持攻擊來實現,比如 QUANTUM DNS,或者隻要在域名過期後購買與該威脅相關的域名就能實現。
由于大約有數千隻 U 盤被 Raspberry Robin 污染,SEKOIA.IO 的分析師猜想,即使在域名過期後,這個威脅幾乎肯定會繼續處于活躍狀态,可能導緻這個僵屍網絡迎來第二春,被其他網絡犯罪分子另作他用。
為了證明這個假設,我們試圖将惡意 LNK 用來下載和執行 MSI 包的其中一個首批域名的流量引到 sinkhole 服務器。我們的研究側重于 tiua [ . ] uk 和 gloa [ . ] in,這兩個域名都是在 2021 年 7 月 26 日 Raspberry Robin 活動的最初幾天注冊的。
幾個月前,我們很幸運,那時域名 tiua [ . ] uk 可供出售。這個域名在 2021 年 9 月 22 日至 2022 年 11 月 30 日期間被用作 C2,直到英國域名注冊中心暫停了它,可能是由于注冊人聯系信息不準确。
通過将這個域名指向我們的 sinkhole 服務器,我們得以從 Raspberry Robin 運營團夥使用的首批域名之一獲得遙測數據。果然不出我們所料,由于它是這個蠕蟲使用的首批域名之一,這個特定域名的遙測數據很有限。此外,指向該域名的快捷方式來自第一代分布式 LNK,因此可以被如今的大多數反病毒解決方案檢測出來。
然而,我們仍能夠觀察到幾個受害者,這表明在 Raspberry Robin 域名創建一年後,仍然有可能對這個域名稍加改動,用于從事惡意活動。果不其然,我們還發現了幾隻 U 盤從一台計算機傳遞到另一台,這表明單單一個 LNK 就可能感染多台計算機。
值得一提的是,由于受攻擊的組織或特定行業部門在互聯網服務提供商自治系統中使用通用 IP 地址,因此識别它們特别複雜。SEKOIA.IO 之所以能夠識别出一所歐洲大學的管理網絡,是由于 Via: HTTP 報頭中洩露了其内部代理。
我們試圖對所有這些感染繪制一張圖,以驗證 Raspberry Robin 的這些首批受害者是否來自特定的國家,常常可以從 RETADUP 等 USB 蠕蟲觀察到這種情況。
圖 6
值得一提的是,首批感染并非出現在世界上的某個特定地區。不像 RETADUP 或其他 USB 蠕蟲,Raspberry Robin 的傳播器(spreader)并不嵌入在主載荷中,而是充當獨立的可執行文件,它可以自動執行,也可以由攻擊者通過操作鍵盤來執行。SEKOIA.IO 的分析師估計,首批 Raspberry Robin USB 感染很可能是手動完成的,依賴其他惡意軟件和初始訪問。我們進一步評估,Raspberry Robin 運營團夥可能使用了另一個僵屍網絡來傳播該蠕蟲的第一個版本。微軟發現的 Raspberry Robin . net 傳播器可以證實這個假設。
在這次研究期間,SEKOIA.IO 的分析師将僵屍網絡使用的另一個域名 ynns [ . ] uk 引到了 sinkhold 服務器,它也被英國域名注冊中心封禁。因此,它解析受攻擊的 QNAP C2 不到一個月,即從 2021 年 10 月 25 日到 2021 年 11 月 19 日。這個域名讓我們得以識别另外幾個國家的受害者,包括美國、德國、羅馬尼亞、阿曼、摩洛哥、巴林和哈薩克斯坦。
那麼,下一步是什麼?
本文闡明了僵屍網絡如何有多個用途,如何可以被其運營團夥重用及 / 或改造,甚至久而久之被其他團夥劫持。正如最近 Mandiant 披露 TURLA 團夥稍加改動 Andromeda 僵屍網絡的幾個域名那樣,稍加改動僵屍網絡和訪問(比如 webshell)不是什麼新鮮事,威脅分子在過去早已有了這麼做的能力。
這進一步增強了 SEKOIA.IO 分析師的信心:必須持續監測、調查和重新評估該威脅,以提供實用的網絡威脅情報。
除了将威脅記入文檔外,創建定制規則以檢測 Raspberry Robin 生成的 LNK 或在網絡外通信的 msiexec 進程似乎至關重要。到目前為止,盡管多家安全供應商針對這兩方面提供了強大的檢測,SEKOIA.IO 的分析師估計,Raspberry Robin 運營團夥可能會更新感染鍊以逃避檢測,在中長期内繼續攻擊全球各地的組織。
因此,SEKOIA.IO 的分析師會繼續監測和報告這個威脅,将其作為值得關注的網絡犯罪案例加以跟蹤研究。
