Raspberry Robin マルウェアの C2 ドメイン 約 200件を特定：ロシアとの関係と EU 経由での拡散

Researchers Uncover ~200 Unique C2 Domains Linked to Raspberry Robin Access Broker

2025/03/25 TheHackerNews — Raspberry Robin マルウェアに関連する約 200のユニークな C2 (command-and-control) ドメインが、Silent Push の調査により発見された。Silent Push は、「Raspberry Robin (別名：Roshtyak／Storm-0856) は、複雑で進化し続ける脅威アクターであり、他の犯罪グループに対して初期アクセス・ブローカー (IAB：initial access broker) サービスを提供している。それらのグループの多くは、ロシアとつながりがある」と、 The Hacker News に共有したレポートで述べている。

2019年に登場した Raspberry Robin は、SocGholish／Dridex／LockBit／IcedID／BumbleBee／TrueBot などの、さまざまな悪質なマルウェアの媒介として使用されてきた。このマルウェアは、ペイロード取得のために、侵害した QNAP デバイスを使用するることから、”QNAP ワーム” とも呼ばれている。

Raspberry Robin が登場してから数年が経つが、その攻撃チェーンには、様々な配布の手法が加えられてきた。たとえば、メッセージング・サービスの Discord を悪用することで、アーカイブ・ファイルや Windows スクリプト・ファイルを添付ファイルとして送信し、ダウンロードさせる手法が確認されている。その他にも、ワンデイ・エクスプロイトを入手して、その情報が公開される前に、ローカル特権昇格を達成する手口もある。

また、このマルウェアが、PPI (pay-per-install) ボットネットとして他の攻撃者に提供され、次の段階のマルウェア配布に使用されたことを示す証拠もある。

さらに、Raspberry Robin の感染には、USB 経由の拡散メカニズムも組み込まれている。具体的に言うと、感染させた USB ドライブ内に、フォルダを装う Windows ショートカット (LNK) ファイルを仕込むことで、マルウェアを展開する仕組みである。 

米国政府が明らかにしたのは、Cadet Blizzard として追跡されるロシアの国家支援型の脅威アクターが、イニシャル・アクセスの手段として Raspberry Robin を使用していた可能性である。

また、Silent Push と Team Cymru との共同調査では、すべての感染した QNAP デバイスを接続するデータ中継点である、１つの IP アドレスが特定された。その IP を手がかりに、最終的には、180以上のユニークな C2 ドメインが発見された。

Silent Push は、「この単一の IP アドレスは、Tor リレーを通じて接続されていた。おそらく、侵害済みデバイスへの、ネットワーク・オペレーターによる新たなコマンド発行などの、インタラクションの手段となっていたのだろう。この中継に使用された IP は、EU 加盟国に所在していた」と説明している。

さらにインフラを詳細に調査したところ、Raspberry Robin の C2 ドメインは、q2[.]rs／m0[.]wf／h0[.]wf／2i[.]pm などの、きわめて短いものだと判明した。また、それらのドメインは、fast flux という手法を用いて、侵害デバイス間や IP アドレス間で、迅速にローテーションされることも解ってきた。この手口により、ドメインの摘発／無効化 (テイクダウン) が困難になる。

Raspberry Robin に関連する、主なトップレベル・ドメイン (TLD) には、”.wf／.pm／.re／.nz／.eu／.gy／.tw／.cx” などがある。これらのドメインの登録には、Sarek Oy／1API GmbH／NETIM／Epag[.]de／CentralNic Ltd／Open SRS などの、ニッチなレジストラが使用されている。また、特定された C2 ドメインの大半は、ブルガリアの ClouDNS という企業に、ネーム・サーバを置いていることも判明した。

Silent Push は、「過去においても Raspberry Robin は、数多くのロシア系の脅威アクターとの関連が疑われてきた。具体的には、LockBit／Dridex／SocGholish／DEV-0206／Evil Corp (DEV-0243)／Fauppod／FIN11／Clop Gang／Lace Tempest (TA505) などである。こうした背景を踏まえれば、Raspberry Robin が、ロシア政府系の脅威アクターに使用され続けることに、何の不思議もない」と述べている。

Raspberry Robin インフラの解明が進んでいるようで、心強いですね。ちょっと古い話となりますが、2023/08/28 には「マルウェア・ローダー Top-3 による寡占化：QakBot／SocGholish／Raspberry Robin」という記事をポストしています。さらに、2022/10/28 には、「Access-as-a-Service へと進化した Raspberry Robin：Clop ランサムウェアの展開を推進か？」という記事もあります。よろしければ、ご参照ください。