Raspberry Robin Malware Detection: Enhanced Worm-Like Version Attacking European Financial Institutions

どんな休日シーズンでも、敵は無防備な被害者を狙う新たな悪意あるトリックを発明するための休暇を取ることはありません。先週、セキュリティ研究者は、ヨーロッパ諸国の金融および保険会社を標的とするために利用された、ワームのようなRaspberry Robinマルウェアドロッパーの強化されたバリアントを発見しました。専門家たちは特に、Raspberry Robinが複雑な難読化や解析防止機能、洗練されたダウンロードメカニズムとデータ暗号化能力などを含む大幅なアップグレードを受けたと指摘しています。

Raspberry Robin マルウェアを検出

最新のRaspberry Robinのアップグレードは、世界中のセキュリティ専門家にとっての警鐘です。この悪意あるフレームワークは、アリーナで最大のマルウェア配信プラットフォームの1つと見なされており、ランサムウェア運営者やその他の経済的動機を持つアクターによって広く採用されています。

セキュリティの専門家が潜在的な侵入に対して積極的に防御するのを助けるために、SOC PrimeのDetection as Codeプラットフォームは、Raspberry Robinを検出するための専用のSigmaルールのバッチを提供しています。これには、最新のマルウェア反復に関連する悪意のあるアクティビティを識別するためのルールが含まれています。

以下の 検出を探索 ボタンを押すと、豊富なメタデータとCTI参照資料を伴った関連検出コンテンツの完全なリストにアクセスできます。すべての検出コンテンツは、25以上のSIEM、EDR、BDP、およびXDRソリューションと互換性があり、 MITRE ATT&CK®フレームワークv12.

検出を探索

Raspberry Robinワーム：最新のキャンペーンで使用されるアップグレードされたマルウェアの分析

Raspberry Robin マルウェアローダーとして設計されたバックドアは、トロイ化されたUSBデバイスを使用してターゲットシステムに感染するワームです。マルウェアは2022年5月中旬以来、サイバー脅威環境で観察され続け、攻撃の範囲を絶えず拡大し、新しいバリアントで悪意のある株を進化させています。2022年7月、Microsoftのサイバーセキュリティ研究者は、Raspberry Robinバックドアを、 Evil Corpとして追跡されるロシア支援のハッキング集団と関連付け、それは Dridex マルウェアを拡散させる金融機関へのサイバー攻撃の背後にあるものでした。Raspberry Robinは、Dridexマルウェアローダーと驚くほど似ているため、Evil Corp関連のマルウェアと見なされています。

2022年の転換期に、サイバーセキュリティ研究者は、検出を回避するために不正なペイロードを投下する試みを伴うRaspberry Robin配布に関連する巧妙な行動パターンを発見しました。この新たな敵の戦術は、通信会社や政府機関を対象とした最新のRaspberry Robinキャンペーンの1つに適用されました。

ワームのようなバックドアの最新バージョンは、マルウェア解析を妨げる高度な難読化技術を利用しており、サイバー防御者に新たな課題をもたらしています。サイバーセキュリティ研究者によると、ハッカーは最新の悪意のあるキャンペーンで最も洗練されたバージョンのRaspberry Robinを利用し、スペイン語やポルトガル語を基にした金融機関をターゲットにしています。 Security Joesによる報告によれば、アップグレードされたマルウェアのバリアントは、検出回避のため、横方向の移動ができ、Discord、Azure、GitHubを含む人気のあるウェブサービスやプラットフォームのクラウドインフラストラクチャを悪用することができる感染後の能力を犯罪者に提供します。

最新のフレームワークバージョンは、悪意のあるコードの展開前に少なくとも5つの保護層を備えたより高度な機能を含んでいます。最新のマルウェア反復版は、以前のより複雑でないバージョンに取って代わり、C2ビーコニング用に強力なRC4暗号化ペイロードも適用しています。

Raspberry Robinの運営者が被害者の情報収集を開始した事実は、潜在的なマルウェア攻撃のリスクを悪化させています。最新のバックドアバージョンの洗練度の増加とその追い打ちの攻撃能力の絶え間ない強化には、防御者からの超迅速な対応が求められます。すべての関連攻撃に対して積極的に防御するために、セキュリティ専門家は包括的なリストを取得することを歓迎します。 Dridexを検出するためのSigmaルール これは、マルウェアの構造と機能に関してRaspberry Robinと多くの類似性を持っています。