Détection du Malware Raspberry Robin : Nouvelles Connexions Révélées

Fin juillet, les chercheurs de Microsoft ont publié de nouvelles preuves reliant le ver Windows Raspberry Robin à l’activité de la Evil Corp , soutenue par la Russie. Raspberry Robin, un ver basé sur USB conçu comme un chargeur de logiciels malveillants, montre des éléments fonctionnels et structurels similaires à ceux de Dridex malware, ce qui indique qu’un groupe notoire, Evil Corp, pourrait être à l’origine de cette nouvelle vague d’attaques.

En 2019, le Département du Trésor des États-Unis a sanctionné cette organisation cybercriminelle prolifique pour les attaques de logiciels malveillants Dridex qui ont causé plus de 100 millions de dollars de dommages.

Détection de logiciels malveillants Raspberry Robin

Pour se défendre de manière proactive contre l’infection par Raspberry Robin, les professionnels de SOC Prime ont publié des règles Sigma:

enrichies en contexte pour détecter la présence malveillante de logiciels malveillants Raspberry Robin.

Les règles sont alignées avec le cadre MITRE ATT&CK® v.10, compatibles avec 26 solutions SIEM, EDR et XDR prises en charge par la plateforme de SOC Prime.

Les professionnels de SOC dédiés à se tenir au courant des dernières tendances façonnant le paysage actuel des cybermenaces peuvent tirer parti du moteur de recherche de menaces cybernétiques de SOC Prime, le premier de l’industrie. Appuyez sur le bouton Explorer le contexte des menaces pour naviguer instantanément dans le pool d’algorithmes de détection enrichis par le mappage ATT&CK et faire progresser votre routine proactive de chasse aux menaces.

Explorer les détections  

Analyse des logiciels malveillants Raspberry Robin

Dans la déclaration du 26 juillet 2022, le géant de la technologie révèle que le nombre d’infections observées dans la nature a atteint des millions d’attaques sans objectifs post-exploitation clairs jusqu’à récemment. Depuis que ce cluster d’activités a été détaillé par Red Canary en septembre 2021, Raspberry Robin, également connu sous le surnom de QNAP Worm (pour l’abus initial des appareils QNAP) a gardé ses astuces en réserve. Le mois dernier, des chercheurs en sécurité ont détecté les infections délivrant le logiciel malveillant FAKEUPDATES, également connu sous le nom de SocGholish, liant les attaques à DEV-0206 et DEV-0243 (alias Evil Corp).

Le processus d’infection de Raspberry Robin commence par compromettre un appareil avec un fichier raccourci Microsoft (.LNK) malveillant, normalement livré via un appareil USB. Lorsque la future victime ouvre le fichier, cela entraîne la récupération et l’exécution d’un installateur MSI depuis un domaine C2. Pour établir un point d’ancrage dans un système infecté, le logiciel malveillant crée une clé de registre, s’assurant que le même DLL est injecté dans rundll32.exe après chaque démarrage.

Améliorez vos chances de réduire le temps de présence et de neutraliser les adversaires avant que des dommages ne soient causés en utilisant des outils et solutions innovants fournis par une équipe de professionnels dévoués de SOC Prime. Inscrivez-vous à des événements en ligne à venir et consultez une vaste collection de documents pédagogiques disponibles dans la Cyber Library.