los petirrojo frambuesa El gusano se está convirtiendo en un malware de acceso como servicio para implementar otras cargas útiles, incluidos IcedID, Bumblebee, TrueBot (también conocido como Silence) y Clop ransomware.
Es “parte de un ecosistema de malware complejo e interconectado, con enlaces a otras familias de malware y métodos de infección alternativos más allá de su propagación original en la unidad USB”, el Centro de inteligencia de amenazas de seguridad de Microsoft (MSTIC) dijo en un escrito detallado.
Raspberry Robin, también llamado QNAP Worm debido al uso de servidores de almacenamiento QNAP comprometidos para el comando y control, es el nombre que la empresa de ciberseguridad Red Canary le da a un malware que se propaga a los sistemas Windows a través de unidades USB infectadas.
MSTIC está al tanto del grupo de actividad detrás de las infecciones de Raspberry Robin basadas en USB como DEV-0856agregando que tiene conocimiento de al menos cuatro puntos de entrada confirmados que tienen el objetivo final probable de implementar ransomware.
El equipo de ciberseguridad del gigante tecnológico dijo que Raspberry Robin ha evolucionado de un gusano ampliamente distribuido sin acciones posteriores a la infección observadas a una de las plataformas de distribución de malware más grandes actualmente activas.
Según los datos de telemetría recopilados de Microsoft Defender para Endpoint, aproximadamente 3000 dispositivos que abarcan casi 1000 organizaciones han encontrado al menos una alerta relacionada con la carga útil de Raspberry Robin en los últimos 30 días.
El último desarrollo se suma a la creciente evidencia de actividades posteriores a la explotación vinculadas a Raspberry Robin, que, en julio de 2022, se descubrió actuando como un conducto para entregar el malware FakeUpdates (también conocido como SocGholish).
Esta actividad de FakeUpdates también ha sido seguida por un comportamiento previo al ransomware atribuido a un grupo de amenazas rastreado por Microsoft como DEV-0243 (también conocido como Evil Corp), el infame sindicato ruso de ciberdelincuencia detrás del troyano Dridex y un marco de comando y control (C2). llamado TeslaGun.
Microsoft, en octubre de 2022, dijo que detectó el uso de Raspberry Robin en una actividad posterior al compromiso atribuida a un actor de amenazas diferente al que ha llamado DEV-0950 y que se superpone con grupos monitoreados públicamente como FIN11 y TA505.
Si bien los nombres FIN11 y TA505 a menudo se usan indistintamente, Mandiant (anteriormente FireEye), propiedad de Google describe FIN11 como un subconjunto de actividad bajo el grupo TA505.
También vale la pena señalar la combinación de Evil Corp y TA505aunque Proofpoint evalúa “TA505 será diferente de Evil Corp”, lo que sugiere que estos grupos comparten puntos en común tácticos parciales entre sí.
“Desde una infección de Raspberry Robin, la actividad DEV-0950 condujo a compromisos prácticos con el teclado de Cobalt Strike, a veces con una infección de TrueBot observada entre la etapa de Raspberry Robin y Cobalt Strike”, dijo el investigador. “La actividad culminó con la implementación del ransomware Clop”.
Microsoft también teorizó que los actores detrás de estas campañas de malware relacionadas con Raspberry Robin están pagando a los operadores del gusano por la entrega de la carga útil, lo que les permite alejarse del phishing como vector para adquirir nuevas víctimas.
Además, un actor ciberdelincuente denominado DEV-0651 ha sido vinculado a la distribución de otro artefacto llamado Fauppod a través del abuso de servicios legítimos en la nube, que exhibe similitudes de código con Raspberry Robin y también elimina el malware FakeUpdates.
El fabricante de Windows señaló además con confianza media que Fauppod representa el eslabón más antiguo conocido en la cadena de infección de Raspberry Robin para propagar este último a través de archivos LNK a unidades USB.
Para agregar al rompecabezas de ataque, IBM Security X-Force, a principios del mes pasado, identificó similitudes funcionales entre un componente de carga utilizado en la cadena de infección de Raspberry Robin y el malware Dridex. Microsoft atribuye esta conexión a nivel de código a que Fauppod adoptó los métodos de Dridex para evitar la ejecución en entornos específicos.
“La cadena de infección de Raspberry Robin es confusa y mapa complicado de múltiples puntos de infección que pueden conducir a muchos resultados diferentes, incluso en escenarios donde dos hosts se infectan simultáneamente”, dijo Microsoft.