Détection du Maliciel Raspberry Robin : Version Accrue de Type Ver Attaquant les Institutions Financières Européennes
Table des matières :
Quelle que soit la saison des fêtes, les adversaires ne prennent jamais de vacances pour inventer de nouveaux trucs malveillants afin de cibler des victimes sans méfiance. La semaine dernière, des chercheurs en sécurité ont découvert une variante améliorée du dropper de malware similaire à un ver, Raspberry Robin, utilisé pour cibler des entreprises financières et d’assurance à travers les pays européens. Les experts notent spécifiquement que Raspberry Robin a reçu une mise à niveau significative, incluant une obfuscation complexe et des fonctionnalités anti-analyse, un mécanisme de téléchargement sophistiqué et des capacités de chiffrement des données, et plus encore.
Détecter le malware Raspberry Robin
La dernière mise à niveau de Raspberry Robin est un appel à la vigilance pour les praticiens de la sécurité dans le monde entier. Ce cadre malveillant est considéré comme l’une des plus grandes plateformes de distribution de malware sur la scène, largement adopté par les opérateurs de ransomware et autres acteurs à motivation financière.
Pour aider les praticiens de la sécurité à se défendre de manière proactive contre les intrusions potentielles, la plateforme Detection as Code de SOC Prime offre un ensemble de règles Sigma dédiées pour détecter Raspberry Robin, y compris celles pour identifier les activités malveillantes liées à la dernière itération du malware.
Appuyez sur Explorer les détections les boutons ci-dessous pour accéder à la liste complète du contenu de détection pertinent, accompagné de métadonnées étendues et de références CTI. Tout le contenu de détection est compatible avec plus de 25 solutions SIEM, EDR, BDP, et XDR et est mappé au cadre MITRE ATT&CK® v12.
Raspberry Robin Worm : Analyse du malware amélioré utilisé dans les dernières campagnes
Raspberry Robin conçu comme un chargeur de malware est un ver qui infecte les systèmes ciblés via des dispositifs USB truffés de chevaux de Troie. Le malware a été repéré dans le paysage de la cybermenace depuis la mi-mai 2022, étendant continuellement la portée de ses attaques et faisant évoluer les souches malveillantes avec de nouvelles variantes apparaissant sur la scène. En juillet 2022, des chercheurs en cybersécurité de Microsoft ont lié le backdoor Raspberry Robin au collectif de hackers soutenu par la Russie, suivi sous le nom de Evil Corp, qui était derrière des cyberattaques contre des institutions financières en diffusant le malware Dridex . Raspberry Robin a été considéré comme un malware lié à Evil Corp en raison de sa ressemblance frappante avec le chargeur de malware Dridex.
Au tournant de 2022, des chercheurs en cybersécurité ont découvert des schémas de comportement astucieux associés à la distribution de Raspberry Robin, qui impliquaient des tentatives malveillantes de déposer une charge utile frauduleuse pour échapper à la détection. Cette nouvelle tactique d’adversaire a été appliquée dans l’une des dernières campagnes Raspberry Robin ciblant les entreprises de télécommunications et les entités gouvernementales.
Les dernières versions du backdoor de type ver utilisent des techniques obfusquées avancées pour entraver l’analyse anti-malware, ce qui pose de nouveaux défis aux défenseurs cyber. Des chercheurs en cybersécurité indiquent que les hackers exploitent maintenant la version la plus sophistiquée de Raspberry Robin dans leurs dernières campagnes malveillantes visant les organisations financières basées sur les langues espagnole et portugaise. Selon le rapport de Security Joes, la variante améliorée du malware permet aux acteurs de la menace de tirer parti des capacités post-infection pour l’évasion de la détection, de se déplacer latéralement et d’exploiter les infrastructures cloud des services et plateformes web populaires, y compris Discord, Azure, et GitHub.
La dernière version du cadre implique des capacités plus avancées avec au moins cinq couches de protection avant le déploiement du code malveillant. La itération de malware la plus récente applique également une charge utile chiffrée par RC4 robuste pour le beaconing C2, qui a remplacé une version antérieure moins complexe.
Le fait que les opérateurs de Raspberry Robin aient commencé à collecter des informations sur leurs victimes aggrave les risques d’attaques potentielles par malware. La sophistication accrue de la dernière version du backdoor et l’amélioration constante de ses capacités offensives nécessitent une ultra-réactivité des défenseurs. Pour se défendre de manière proactive contre toutes les attaques liées, les experts en sécurité sont invités à accéder à une liste complète de règles Sigma pour détecter Dridex qui présente de nombreuses similitudes avec Raspberry Robin en termes de structure et de fonctionnalité du malware.
