Rilevamento Malware Raspberry Robin: Nuove Connessioni Svelate

Alla fine di luglio, i ricercatori di Microsoft hanno rilasciato nuove prove che collegano il worm Windows Raspberry Robin all’attività dei russi sostenuti Evil Corp banda. Raspberry Robin, un worm basato su USB progettato come caricatore di malware, mostra una funzionalità e elementi strutturali simili a quelli di malware Dridex, indicando che un famigerato gruppo Evil Corp potrebbe essere dietro la nuova ondata di attacchi.

Nel 2019 il Dipartimento del Tesoro degli Stati Uniti ha sanzionato questa prolifica organizzazione cybercriminale per gli attacchi del malware Dridex che hanno causato più di 100 milioni di dollari di danni.

Rilevamento Malware Raspberry Robin

Per difendersi proattivamente dall’infezione di Raspberry Robin, i professionisti di SOC Prime hanno rilasciato regole Sigma:

arricchite di contesto per rilevare la presenza dannosa del malware Raspberry Robin

Le regole sono allineate al framework MITRE ATT&CK® v.10, compatibili con 26 soluzioni SIEM, EDR e XDR supportate dalla piattaforma di SOC Prime.

I professionisti SOC dedicati a tenere il passo con le ultime tendenze che plasmano il panorama attuale delle minacce informatiche possono trarre vantaggio sfruttando il motore di ricerca di minacce informatiche di SOC Prime, il primo del settore. Premi il pulsante Esplora Contesto Minacce per navigare istantaneamente nella raccolta di algoritmi di rilevamento arricchiti con la mappatura ATT&CK e avanzare nella tua routine proattiva di Caccia alle Minacce.

Esplora Rilevamenti  

Analisi del Malware Raspberry Robin

Nel divulgazione del 26 luglio 2022, il colosso tecnologico rivela che il numero di infezioni osservate allo stato brado ha raggiunto milioni di attacchi che non avevano obiettivi di post-sfruttamento chiari fino a poco tempo fa. Da quando questo cluster di attività è stato dettagliato da Red Canary nel settembre 2021, Raspberry Robin, noto anche con il soprannome di QNAP Worm (per abuso iniziale dei dispositivi QNAP), ha mantenuto i suoi trucchi nascosti. Lo scorso mese, i ricercatori di sicurezza hanno rilevato infezioni che distribuiscono il malware FAKEUPDATES, noto anche come SocGholish, collegando gli attacchi a DEV-0206 e DEV-0243 (alias Evil Corp).

Il processo di infezione di Raspberry Robin inizia compromettendo un dispositivo con un file shortcut di Microsoft (.LNK) dannoso, normalmente distribuito tramite un dispositivo USB. Quando la vittima-aprirapta il file, questo comporta il recupero e l’esecuzione di un programma di installazione MSI da un dominio C2. Per stabilire un punto d’appoggio all’interno di un sistema infetto, il malware crea una chiave di registro, garantendo che lo stesso DLL venga iniettato in rundll32.exe dopo ogni avvio.

Aumenta le tue possibilità di ridurre il tempo di permanenza e neutralizzare gli avversari prima che venga fatto il danno utilizzando strumenti innovativi e soluzioni fornite da un team di professionisti dedicati di SOC Prime. Iscriviti ai prossimi eventi online e consulta una vasta collezione di materiali educativi disponibili nella Cyber Library.