Les chercheurs ont identifié des similitudes fonctionnelles entre un composant malveillant utilisé dans la chaîne d’infection Raspberry Robin et un chargeur de malware Dridex, renforçant encore les liens des opérateurs avec le groupe Evil Corp basé en Russie.
Les résultats suggèrent que « Evil Corp utilise probablement l’infrastructure Raspberry Robin pour mener ses attaques », Kevin Henson, chercheur chez IBM Security X-Force. a dit dans une analyse jeudi.
Raspberry Robin (alias QNAP Worm), découvert pour la première fois par la société de cybersécurité Red Canary en septembre 2021, est resté un mystère pendant près d’un an, en partie à cause du manque notable d’activités post-exploitation dans la nature.
Cela a changé en juillet 2022 lorsque Microsoft a révélé avoir observé que le malware FakeUpdates (alias SocGholish) était diffusé via des infections Raspberry Robin existantes, avec des connexions potentielles identifiées entre DEV-0206 et DEV-0243 (alias Evil Corp).
Le logiciel malveillant est connu pour être transmis à partir d’un système compromis via des périphériques USB infectés contenant un fichier .LNK malveillant vers d’autres périphériques du réseau cible. Les fichiers de raccourcis Windows sont conçus pour récupérer une DLL malveillante à partir d’un serveur distant.
« Les chargeurs Raspberry Robin sont des DLL qui décodent et exécutent un chargeur intermédiaire », a déclaré Henson. « Le chargeur intermédiaire effectue une détection de crochet comme technique d’anti-analyse, décode ses chaînes au moment de l’exécution, puis décode une DLL hautement obscurcie dont le but n’a pas été déterminé. »
De plus, l’analyse comparative d’IBM Security X-Force d’un chargeur Raspberry Robin 32 bits et d’un chargeur Dridex 64 bits a révélé des chevauchements de fonctionnalités et de structure, les deux composants incorporant un code anti-analyse similaire et décodant la charge utile finale de manière analogue.
Dridex (alias Bugat ou Cridex) est le ouvrage of Evil Corp et fait référence à un cheval de Troie bancaire capable de voler des informations, de déployer des logiciels malveillants supplémentaires tels que des rançongiciels et d’asservir des machines Windows compromises dans un botnet.
Pour atténuer les infections de Raspberry Robin, il est recommandé aux organisations de surveiller les connexions des périphériques USB et de désactiver le Fonction d’exécution automatique dans les paramètres du système d’exploitation Windows.