webstylebg@gmail.com

graphic - web - computers

Raspberry Robin

Групата DEV-0950 използва ransomware Clop, за да криптира мрежата на организации, които преди това са били заразени с червея Raspberry Robin.

Microsoft е открила неотдавнашна дейност, която свързва Raspberry Robin с атаки на рансъмуер, извършвани от хора.

Данните, събрани от Microsoft Defender for Endpoint, показват, че през последните 30 дни на близо 3000 устройства в почти 1000 организации е регистрирано поне едно предупреждение, свързано с полезен товар на Raspberry Robin.

Експертите забелязват, че участниците в заплахата, проследени като DEV-0950, използват Клоп рансъмуер да криптират мрежата на организации, които преди това са били заразени с червея.

През октомври 2022 г. зловредният софтуер е използван в дейност след компрометиране, приписвана на друг участник – DEV-0950 (който се припокрива с киберпрестъпната група FIN11/TA505). Атаките на DEV-0950 доведоха до внедряването на радиомаяка Cobalt Strike. В някои случаи нападателите са доставили зловредния софтуер Truebot между заразяването на Raspberry Robin и разгръщането на Cobalt Strike.

От 19 септември 2022 г. експертите наблюдават, че червейните инфекции се разгръщат IcedID, Bumblebee и TrueBot полезен товар. Зловредният софтуер на финалния етап е бил софтуерът Clop ransomware.

На 26 юли 2022 г. изследователи на Microsoft откриха, че FakeUpdates зловредният софтуер се разпространява чрез Raspberry Robin зловреден софтуер. Експертите на Microsoft са наблюдавали, че участникът в заплахата DEV-0206 използва червея, за да разположи програма за изтегляне в мрежи, които също са били компрометирани от участници в заплахата, използващи Evil Corp TTPs.

DEV-0206 е брокер на достъп, проследяван от Microsoft, който използва кампании за злонамерена реклама, за да компрометира мрежи по целия свят.

Откритието, направено от Microsoft, е много интересно, тъй като за първи път изследователите намират доказателства, че операторите на червеи използват брокер на достъп, за да компрометират корпоративните мрежи.

„DEV-0950 традиционно използва фишинг, за да придобие по-голямата част от жертвите си, така че това забележително преминаване към използване на Raspberry Robin им позволява да доставят полезен товар към съществуващите инфекции и да придвижат кампаниите си по-бързо до етапите на рансъмуер. Доклад публикувано от Microsoft. „Като се има предвид взаимосвързаният характер на киберпрестъпността икономика на, е възможно участниците, които стоят зад тези кампании за зловреден софтуер, свързани с Raspberry Robin – обикновено разпространявани чрез други средства като злонамерени реклами или електронна поща – да плащат на операторите на Raspberry Robin за инсталирането на зловреден софтуер.“

Изследователите предполагат, че операторите, които стоят зад Raspberry Robin, продават първоначален достъп до компрометирани корпоративни мрежи на филиали на банди за изнудване.

Raspberry Robin е червей за Windows, открит от изследователи по киберсигурност от Red Canary. Зловредният софтуер се разпространява чрез сменяеми USB устройства.

Зловредният код използва Windows Installer, за да достигне до домейни, свързани с QNAP, и да изтегли зловреден DLL. Зловредният софтуер използва TOR изходни възли като резервна C2 инфраструктура.

Зловредният софтуер е забелязан за първи път през септември 2021 г., експертите наблюдават Raspberry Robin, насочен към организации в технологичната и производствената индустрия. Първоначалният достъп обикновено се осъществява чрез заразени сменяеми дискове, често USB устройства. Зловредният софтуер използва cmd.exe, за да прочете и изпълни файл, съхраняван на заразеното външно устройство, и използва msiexec.exe за външна мрежова комуникация с измамен домейн, използван като C2, за да изтегли и инсталира файл с DLL библиотека.

След това msiexec.exe стартира легитимна помощна програма на Windows, fodhelper.exe, която на свой ред стартира rundll32.exe, за да изпълни злонамерена команда. Експертите посочват, че процесите, стартирани от fodhelper.exe, се изпълняват с повишени административни привилегии, без да се изисква покана за контрол на потребителските акаунти.

„Като се има предвид документираната по-рано връзка между RaspberryRobin и DEV- 0206/DEV-0243 (EvilCorp), тази прилика в поведението на първоначалния вектор за инфекции с Raspberry Robin добавя още едно доказателство за връзката между разработването и разпространението на Fauppod/Raspberry Robin и DEV-0206/DEV-0243.“ – завършва докладът.

 

Източник: securityaffairs.co