Raspberry Robin Malware Detection: New Connections Revealed

7月下旬、Microsoftの研究者は、Raspberry Robin Windowsワームとロシアに支援された Evil Corp ギャングの活動を結びつける新たな証拠を発表しました。USBをベースにしたマルウェアローダーとして設計されたRaspberry Robinは、 Dridexマルウェアの機能や構造要素と類似しており、悪名高いEvil Corpグループが新たな攻撃の波を引き起こしている可能性があります。

2019年、米国財務省は、1億ドル以上の損害を引き起こしたDridexマルウェア攻撃に対してこの多産なサイバー犯罪組織を制裁しました。

Raspberry Robinマルウェアの検出

Raspberry Robin感染に対抗するために、SOC Primeの専門家がコンテキスト強化された Sigmaルール:

Raspberry Robinマルウェアの悪意ある存在を検出するためのSigmaルール

これらのルールはMITRE ATT&CK®フレームワークv.10に準拠し、SOC Primeのプラットフォームがサポートする26のSIEM、EDR、XDRソリューションと互換性があります。

最新のサイバー脅威動向に対応することに専念しているSOCの専門家は、SOC Primeの業界初のサイバー脅威検索エンジンを活用することで利益を得ることができます。 Explore Threat Context ボタンを押して、ATT&CKマッピングで強化された検出アルゴリズムのプールへ即座に移動し、プロアクティブな脅威ハンティングのルーチンを進めましょう。

Explore Detections  

Raspberry Robinマルウェア解析

In the で、この技術の巨人は、現場で観測された感染数が数百万件に達し、最近まで明確な展開後の目的がなかった攻撃を明らかにしました。この活動集団は2021年9月にRed Canaryにより詳細に報告され、Raspberry RobinはQNAPデバイスを最初に悪用したことからQNAPワームと呼ばれることもありますが、これまでにないトリックを見せ続けています。先月、セキュリティ研究者は、FAKEUPDATESマルウェア（SocGholishとも呼ばれる）を配信する感染を検出し、これらの攻撃をDEV-0206およびDEV-0243（別名Evil Corp）と結び付けました。 開示

Raspberry Robinの感染プロセスは、通常USBデバイス経由で配信される悪意あるMicrosoftショートカット（.LNK）ファイルでデバイスを侵害することから始まります。被害者がファイルを開くと、C2ドメインからMSIインストーラがフェッチされ、実行されます。感染したシステム内の足場を確立するために、マルウェアはレジストリキーを作成し、DLLが起動ごとにrundll32.exeに注入されるようにします。

被害が生じる前に潜伏時間を短縮し、攻撃者を無効化する機会を高めるには、 SOC Primeの専任プロフェッショナルチームが提供する革新的なツールやソリューションを活用してください。今後のオンラインイベントに登録し、 サイバーライブラリ.