라즈베리 로빈 멀웨어 탐지: 새로운 연결이 밝혀지다

7월 말, Microsoft 연구원들은 Raspberry Robin Windows 웜을 러시아 지원 활동과 연결하는 새로운 증거를 공개했습니다 Evil Corp 갱. Raspberry Robin은 멀웨어 로더로 설계된 USB 기반 웜으로, Dridex 멀웨어와 유사한 기능과 구조적 요소를 보여주며, 악명 높은 Evil Corp 그룹이 새로운 공격 물결 뒤에 있을 수 있음을 나타냅니다.

2019년 미국 재무부는 Dridex 멀웨어 공격으로 1억 달러 이상의 피해를 입힌 이 다작의 사이버 범죄 조직을 제재했습니다.

Raspberry Robin 멀웨어 탐지

Raspberry Robin 감염에 대한 선제 방어를 위해, SOC Prime 전문가들은 문맥이 풍부한 Sigma 규칙:

에서 사용할 수 있는 방대한 교육 자료 컬렉션을 확인하십시오.

이 규칙은 MITRE ATT&CK® 프레임워크 v.10과 정렬되어 있으며, SOC Prime의 플랫폼에서 지원하는 26개의 SIEM, EDR 및 XDR 솔루션과 호환됩니다.

현재 사이버 위협 지형을 형성하는 최신 트렌드를 지속적으로 따라잡기를 바라는 SOC 전문가들은 SOC Prime의 업계 최초 Cyber Threats Search Engine을 활용할 수 있습니다. Explore Threat Context 버튼을 눌러 ATT&CK 매핑이 풍부하게 된 탐지 알고리즘 풀을 즉시 탐색하고 사전적 위협 사냥 루틴을 발전시키십시오.

탐지 탐색  

Raspberry Robin 멀웨어 분석

2022년 7월 26일자의 공개 에서 기술 거인은 야생에서 관찰된 감염 수가 수백만 건에 이르렀으며, 최근까지는 명확한 사후 공격 목표가 없었음을 밝혔습니다. 이 활동 클러스터는 2021년 9월 Red Canary에 의해 상세히 설명되었으며, 초기 QNAP 장치의 악용을 의미하는 QNAP Worm으로도 알려진 Raspberry Robin은 여전히 여러 트릭을 가지고 있었습니다. 지난 달에는 보안 연구원들이 FAKEUPDATES 멀웨어, 또는 SocGholish로도 알려진 감염들을 탐지하였으며, 이 공격을 DEV-0206 및 DEV-0243 (aka Evil Corp)와 연결했습니다.

Raspberry Robin의 감염 과정은 일반적으로 USB 장치를 통해 제공되는 악성 Microsoft 단축키(.LNK) 파일로 기기를 손상시키며 시작됩니다. 피해자 후보가 파일을 열면 C2 도메인에서 MSI 설치 프로그램을 가져와 실행하게 됩니다. 감염된 시스템 내에 발판을 마련하기 위해, 멀웨어는 레지스트리 키를 생성하여 부팅될 때마다 동일한 DLL이 rundll32.exe에 주입되도록 보장합니다.

전담 전문가 팀이 제공하는 혁신적인 도구와 솔루션을 활용하여 적이 피해를 주기 전에 지연 시간을 줄이고 무효화할 수 있는 기회를 향상시키십시오. SOC Prime에 의해 제공됩니다. 다가오는 온라인 이벤트에 등록하고 사이버 라이브러리.