كشف النقاب عن شبكة تحكم خادعة لبرمجية “راسبيري روبين”

كشف تحقيق جديد عن ما يقارب 200 نطاق تحكم (C2) فريد مرتبط ببرمجية “راسبيري روبين” الخبيثة، والتي تعمل كوسيط لاختراق الأنظمة لصالح مجموعات إجرامية.

ما هي برمجية “راسبيري روبين”؟

تُعرف أيضًا باسم “روشتياك” أو “ستورم-0856”، وهي برمجية خبيثة معقدة ومتطورة تقدم خدمات وسيط اختراق أولي (IAB) للعديد من المجموعات الإجرامية، التي غالبًا ما تكون مرتبطة بروسيا، وفقًا لتقرير من شركة Silent Push.

منذ ظهورها في 2019، أصبحت هذه البرمجية وسيلة لنشر برمجيات ضارة أخرى مثل:

• SocGholish
• Dridex
• LockBit
• IcedID
• BumbleBee
• TrueBot

كما يُطلق عليها اسم “دودة QNAP” بسبب استخدامها لأجهزة QNAP المخترقة لنقل الحمولة الخبيثة.

أساليب الانتشار المتطورة

طورت “راسبيري روبين” طرقًا جديدة لنشر نفسها، تشمل:

• تحميلها عبر ملفات مضغوطة وملفات نصوص ويندوز (WSF) تُرسل كمرفقات عبر منصة Discord.
• استغلال ثغرات غير معلنة لتصعيد الصلاحيات محليًا قبل اكتشافها.
• آلية انتشار عبر USB، حيث تخفي البرمجية في ملف اختصار (LNK) يظهر كمجلد عادي.

ارتباط بمجموعات إجرامية وحكومات

كشفت الحكومة الأمريكية أن مجموعة تهديدات روسية تُعرف باسم “Cadet Blizzard” قد استخدمت “راسبيري روبين” لاختراق الأنظمة.

كشف النقاب عن نطاقات التحكم (C2)

اكتشفت Silent Push بالتعاون مع Team Cymru عنوان IP واحدًا كان يُستخدم كنقطة اتصال مركزية لجميع أجهزة QNAP المخترقة، مما أدى إلى اكتشاف أكثر من 180 نطاق تحكم فريد.

خصائص نطاقات التحكم:

• قصيرة جدًا (مثل: q2[.]rs، m0[.]wf، h0[.]wf).
• تتغير بسرعة باستخدام تقنية “Fast Flux” لتعقيد تعطيلها.
• مسجلة عبر مسجلي نطاقات غير مشهورين مثل:
  • Sarek Oy
  • 1API GmbH
  • NETIM
  • Epag[.]de
  • CentralNic Ltd
  • Open SRS

معظم هذه النطاقات تستخدم خوادم اسمية (DNS) تابعة لشركة ClouDNS البلغارية.

ارتباط بمجموعات إجرامية روسية

تعمل “راسبيري روبين” مع عدة مجموعات تهديدات خطيرة، منها:

• LockBit
• Dridex
• SocGholish
• Evil Corp (DEV-0243)
• FIN11
• Clop Gang
• Lace Tempest (TA505)