ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

Raspberry Robin ワームが非常に複雑なアップグレードを孵化させる

プラトン再発行
プラトン再発行

日付:

閲覧数: 180

ハッキング グループは、新しいバージョンの Raspberry Robin フレームワークを使用して、スペイン語とポルトガル語をベースとする金融機関を攻撃しています。その複雑度は大幅に向上していると、研究者は今週発表しました。

2月XNUMX日によると レポート サイバーセキュリティ会社 Security Joes のグループは、同じ QNAP サーバーを使用して数回の攻撃を行ってきましたが、被害者のデータはプレーンテキストではなく RC4 暗号化されており、ダウンローダ メカニズムは新しい分析防止機能で更新されています。難読化レイヤー。

Raspberry Robin は、標的のネットワーク上の他のデバイスに拡散する前に、トロイの木馬化された USB デバイスを介して PC に感染し、他のマルウェアのローダーとして機能するバックドア ワームです。 XNUMX 月に企業ネットワークに巣を作っていることが発見されて以来、 何千ものエンドポイントに急速に感染する —そして種は急速に進化しています。

ワームの背後にいる攻撃者は、プレランサムウェア活動を促進するより大きなエコシステムの一部であると考えられており、現在活動している最大のマルウェア配布プラットフォームの XNUMX つと見なされています。 最近の研究者 それをEvil Corpにリンクしましたたとえば、Dridex マルウェア ローダーとの大きな類似点のおかげです。

「マルウェアのユニークな点は、非常に難読化されており、静的に分解するのが非常に複雑であることです」と研究チームは書いています。

アップグレードされたマルウェアのバージョンが飛び立つ

最新のイテレーションでは、マルウェア保護メカニズムがアップグレードされ、悪意のあるコードが展開される前に少なくとも XNUMX つの保護層が展開されます。これには、攻撃の次の段階のコードを隠すための第 XNUMX 段階のパッカーとそれに続くシェルコード ローダーが含まれます。

次の XNUMX つのレイヤーには、第 XNUMX 段階のローダー DLL、中間シェルコード、最後にシェルコード ダウンローダーが含まれます。 この複雑なフレームワークにより、ワームの検出がより困難になると同時に、ネットワークを介した横方向の移動が容易になると研究者は説明しています。

この調査では、Raspberry Robin のオペレーターが、被害者に関する以前の報告よりも多くのデータを収集し始めていることも示されています。

「数倍複雑なバージョンのマルウェアを発見しただけでなく、以前はプレーンテキストのユーザー名とホスト名を含む URL を使用していた C2 ビーコンが、現在では堅牢な RC4 で暗号化されたペイロードを備えていることも発見しました。 」と、調査を主導した上級脅威研究員の Felipe Duarte 氏は次のように書いています。

あるケースでは、調査チームは、被害者のブラウザから 7-Zip ファイルがどのようにダウンロードされたかを記録しました。これは、ユーザーをだまして行動を起こさせる悪意のあるリンクまたは添付ファイルから可能性があります。

「調査の結果、アーカイブは MSI インストーラーであることが判明しました。このインストーラーは、実行されると、被害者のマシンに複数のファイルをドロップします」と報告書は指摘しています。

XNUMX 番目のケースでは、悪意のあるペイロードが Discord サーバーでホストされていました。これは、攻撃者がマルウェアを被害者のマシンに配信するために使用され、検出を回避してセキュリティ制御をバイパスしました。

「私たちが調査したケースでは、脅威アクターはバックエンドに追加の検証を実装して、ターゲットのセグメンテーションと可視性を向上させることにしました」とレポートは指摘しています。 「これにより、サンドボックスで実行されているボットをフィルタリングし、環境を分析し、ボットネット操作の一部を妨害する可能性のあるその他の状況に対応して、リアルタイムで修正することができます。」

ラズベリーロビンがラウンドを行います

脅威は機敏で、出現、消滅、そして大幅にアップグレードされた機能で再出現するというパターンに従います。

セキュリティ企業の Red Canary は、XNUMX 月に初めて Raspberry Robin を分析して名前を付けました。これは、それが悪意のある USB ドライブを介してターゲットに感染し、他のエンドポイントにワームを仕掛けていたことに注目しましたが、その後は休止状態のままでした。

その後のレポートでは、Raspberry Robin ワームが 10 層の難読化と偽のペイロードを追加し、オーストラリア、ヨーロッパ、ラテンアメリカの通信会社や政府に対して攻撃を開始したことが判明しました。 調査報告書 トレンドマイクロから。

その後すぐに、IBM Security や Microsoft Security Threat Intelligence Center (MSTIC) などの他の研究者の注目を集めました。 後者は Raspberry Robin ワームのオペレーターをモニカで監視しています。 DEV-0856.

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.