Rilevamento del Malware Raspberry Robin: Versione Avanzata a Comportamento Worm Contro Istituzioni Finanziarie Europee
Indice:
Indipendentemente dalla stagione delle festività, gli avversari non vanno in vacanza, inventando nuovi trucchi dannosi per colpire vittime ignare. La settimana scorsa, i ricercatori di sicurezza hanno scoperto una variante potenziata del dropper di malware di tipo worm Raspberry Robin, sfruttato per colpire aziende finanziarie e assicurative in diversi paesi europei. Gli esperti notano specificamente che Raspberry Robin ha ricevuto un aggiornamento significativo, inclusi complessi sistemi di offuscamento e funzioni anti-analisi, sofisticati meccanismi di download, capacità di crittografia dei dati e altro ancora.
Rileva Malware Raspberry Robin
L’ultimo aggiornamento di Raspberry Robin è un segnale di allerta per i professionisti della sicurezza a livello globale. Questo framework malevolo è considerato una delle più grandi piattaforme di distribuzione di malware in circolazione, ampiamente adottato da operatori di ransomware e altri attori con motivazioni finanziarie.
Per aiutare i professionisti della sicurezza a difendersi proattivamente da potenziali intrusioni, la piattaforma Detection as Code di SOC Prime offre un lotto di regole Sigma dedicate per rilevare Raspberry Robin, incluse quelle per identificare attività dannose legate all’ultima iterazione del malware.
Premi il Esplora le Rilevazioni bottoni qui sotto per accedere all’elenco completo di contenuti di rilevamento pertinenti, accompagnati da metadata estesi e riferimenti CTI. Tutto il contenuto di rilevamento è compatibile con oltre 25 soluzioni SIEM, EDR, BDP e XDR ed è mappato sul framework MITRE ATT&CK® v12.
Raspberry Robin Worm: Analisi del Malware Aggiornato Usato nelle Ultime Campagne
Raspberry Robin backdoor progettata come caricatore di malware è un worm che infetta i sistemi mirati tramite dispositivi USB trojanizzati. Il malware è stato avvistato nel panorama delle minacce informatiche da metà maggio 2022, espandendo continuamente la portata dei suoi attacchi e sviluppando le varianti malevole con nuovi ceppi che appaiono sulla scena. A luglio 2022, i ricercatori di sicurezza informatica di Microsoft hanno collegato la backdoor Raspberry Robin al collettivo di hacker sostenuto dalla Russia noto come Evil Corp, che è stato dietro gli attacchi informatici contro istituzioni finanziarie diffondendo malware Dridex. Raspberry Robin è stato considerato un malware collegato a Evil Corp a causa della sua sorprendente somiglianza con il caricatore di malware Dridex. malware Dridex. Raspberry Robin è stato considerato un malware collegato a Evil Corp a causa della sua sorprendente somiglianza con il caricatore di malware Dridex.
Alla fine del 2022, i ricercatori di sicurezza informatica hanno scoperto modelli di comportamento ingannevoli associati alla distribuzione di Raspberry Robin, che coinvolgevano tentativi dannosi di inserire un payload fraudolento per eludere il rilevamento. Questa nuova tattica avversaria è stata applicata in una delle ultime campagne di Raspberry Robin che mirano a società di telecomunicazioni e entità governative.
Le versioni più recenti della backdoor simile a un worm sfruttano tecniche avanzate di offuscamento per ostacolare l’analisi anti-malware, il che pone nuove sfide ai difensori informatici. I ricercatori di sicurezza informatica indicano che gli hacker stanno ora sfruttando la versione più sofisticata di Raspberry Robin nelle loro ultime campagne dannose rivolte a organizzazioni finanziarie basate su linguaggi spagnoli e portoghesi. Secondo il rapporto di Security Joes, la variante di malware aggiornata consente agli attori delle minacce di sfruttare le capacità post-infezione per l’evasione del rilevamento, di muoversi lateralmente e di sfruttare le infrastrutture cloud di servizi web e piattaforme popolari, tra cui Discord, Azure e GitHub.
L’ultima versione del framework implica capacità più avanzate con almeno cinque strati di protezione prima del dispiegamento del codice malevolo. L’iterazione più recente del malware applica anche un payload crittografato RC4 robusto per il beaconing C2, che ha sostituito una versione precedente meno complessa.
Il fatto che gli operatori di Raspberry Robin abbiano iniziato a raccogliere informazioni sulle loro vittime aggrava i rischi di potenziali attacchi malware. La crescente sofisticazione dell’ultima versione della backdoor e le sue capacità offensive costantemente migliorate richiedono una risposta ultra-reattiva dai difensori. Per difendersi proattivamente contro tutti gli attacchi correlati, gli esperti di sicurezza sono invitati a raggiungere un elenco completo di Regole Sigma per rilevare Dridex che condivide molte somiglianze con Raspberry Robin in termini di struttura e funzionalità del malware.
