bu Ahududu Robin worm; IcedID, Bumblebee, TrueBot (aka Silence) ve Clop fidye yazılımı dahil olmak üzere diğer yükleri dağıtmak için bir hizmet olarak erişim kötü amaçlı yazılımı haline geliyor.
Microsoft Güvenlik Tehdit İstihbarat Merkezi (MSTIC) “diğer kötü amaçlı yazılım ailelerine bağlantılar ve orijinal USB sürücü yayılımının ötesinde alternatif bulaşma yöntemleri ile karmaşık ve birbirine bağlı bir kötü amaçlı yazılım ekosisteminin bir parçasıdır”. söz konusu detaylı bir yazımda.
Komuta ve kontrol için güvenliği ihlal edilmiş QNAP depolama sunucularının kullanılması nedeniyle QNAP Worm olarak da adlandırılan Raspberry Robin, siber güvenlik şirketi Red Canary tarafından virüslü USB sürücüler aracılığıyla Windows sistemlerine yayılan bir kötü amaçlı yazılıma verilen addır.
MSTIC, USB tabanlı Raspberry Robin enfeksiyonlarının arkasındaki aktivite grubunu takip ediyor. DEV-0856hepsinin olası nihai amacı fidye yazılımı dağıtmak olan en az dört onaylanmış giriş noktasının farkında olduğunu ekleyerek.
Teknoloji devinin siber güvenlik ekibi, Raspberry Robin’in, herhangi bir enfeksiyon sonrası eylemi gözlemlenmeyen, yaygın olarak dağıtılan bir solucandan, şu anda aktif olan en büyük kötü amaçlı yazılım dağıtım platformlarından birine dönüştüğünü söyledi.
Microsoft Defender for Endpoint’ten toplanan telemetri verilerine göre, son 30 gün içinde yaklaşık 1.000 kuruluşa yayılan yaklaşık 3.000 cihaz, en az bir Raspberry Robin yüküyle ilgili uyarıyla karşılaştı.
En son gelişme, Temmuz 2022’de FakeUpdates (diğer adıyla SocGholish) kötü amaçlı yazılımını iletmek için bir kanal görevi gördüğü keşfedilen Raspberry Robin ile bağlantılı sömürü sonrası etkinliklerin artan kanıtlarına katkıda bulunuyor.
Bu FakeUpdates etkinliğini aynı zamanda Microsoft tarafından DEV-0243 (diğer adıyla Evil Corp), Dridex truva atının arkasındaki kötü şöhretli Rus siber suç örgütü ve bir komuta ve kontrol (C2) çerçevesi olarak izlenen bir tehdit kümesine atfedilen fidye yazılımı öncesi davranış izledi. TeslaGun denir.
Microsoft, Ekim 2022’de Raspberry Robin’in, DEV-0950 kod adlı farklı bir tehdit aktörüne atfedilen ve FIN11 ve TA505 olarak kamuya açık olarak izlenen gruplarla örtüşen, uzlaşma sonrası faaliyetlerde kullanıldığını tespit ettiğini söyledi.
FIN11 ve TA505 adları sıklıkla birbirinin yerine kullanılırken, Google’ın sahibi olduğu Mandiant (eski adıyla FireEye) tarif eder altında faaliyetin bir alt kümesi olarak FIN11 TA505 grubu.
karıştırılmasına da dikkat çekmekte fayda var. Evil Corp ve TA505her ne kadar Proofpoint değerlendirir “TA505, Evil Corp’tan farklı olacak”, bu kümelerin birbirleriyle kısmi taktik ortak noktaları paylaştığını öne sürüyor.
Araştırmacı, “Bir Raspberry Robin enfeksiyonundan, DEV-0950 etkinliği, bazen Raspberry Robin ve Cobalt Strike aşaması arasında bir TrueBot enfeksiyonu gözlemlenmesiyle birlikte, klavye üzerinde uygulamalı uzlaşmalara yol açtı” dedi. “Etkinlik, Clop fidye yazılımının konuşlandırılmasıyla sonuçlandı.”
Microsoft ayrıca, Raspberry Robin ile ilgili bu kötü amaçlı yazılım kampanyalarının arkasındaki aktörlerin, solucan operatörlerine yük dağıtımı için ödeme yaptığını ve bu sayede yeni kurbanlar elde etmek için bir vektör olarak kimlik avından uzaklaşmalarını sağladığını teorileştirdi.
Dahası, DEV-0651 adlı bir siber suçlu aktör, Raspberry Robin ile kod benzerlikleri sergileyen ve ayrıca FakeUpdates kötü amaçlı yazılımını bırakan meşru bulut hizmetlerinin kötüye kullanılması yoluyla Fauppod adlı başka bir eserin dağıtımıyla ilişkilendirildi.
Windows üreticisi ayrıca, Fauppod’un Raspberry Robin enfeksiyon zincirinde, ikincisini LNK dosyaları aracılığıyla USB sürücülere yaymak için bilinen en eski bağlantıyı temsil ettiğini orta düzeyde güvenle kaydetti.
Saldırı bulmacasına ek olarak, IBM Security X-Force, geçen ayın başlarında, Raspberry Robin enfeksiyon zincirinde kullanılan bir yükleyici bileşeni ile Dridex kötü amaçlı yazılımı arasında işlevsel benzerlikler belirledi. Microsoft, bu kod düzeyindeki bağlantıyı, belirli ortamlarda yürütmeyi önlemek için Dridex’in yöntemlerini benimseyen Fauppod’a atfediyor.
“Raspberry Robin’in enfeksiyon zinciri kafa karıştırıcı ve karmaşık harita Microsoft, iki ana bilgisayara aynı anda virüs bulaştığı senaryolarda bile birçok farklı sonuca yol açabilecek birden çok bulaşma noktasının olduğunu söyledi.