Les chercheurs en cybersécurité attirent l’attention sur une vague continue d’attaques liées à un cluster de menaces suivi sous le nom de Raspberry Robin qui se cache derrière un malware Windows doté de capacités de type ver.
Le décrivant comme une menace « persistante » et « propagée », Cybereason a dit il a observé un certain nombre de victimes en Europe.
Les infections impliquent un ver qui se propage sur des périphériques USB amovibles contenant un fichier .LNK malveillant et exploite les périphériques de stockage en réseau (NAS) QNAP compromis pour la commande et le contrôle. Il a été documenté pour la première fois par des chercheurs de Red Canary en mai 2022.
Nom de code également Ver QNAP par Sekoia, le logiciel malveillant exploite un binaire d’installation Windows légitime appelé « msiexec.exe » pour télécharger et exécuter une bibliothèque partagée (DLL) malveillante à partir d’un appareil NAS QNAP compromis.
« Pour rendre la détection plus difficile, Raspberry Robin exploite les injections de processus dans trois processus système Windows légitimes », a déclaré le chercheur de Cybereason, Loïc Castel, dans un article technique, ajoutant qu’il « communique avec le reste de [the] l’infrastructure via les nœuds de sortie TOR. »
La persistance sur la machine compromise est obtenue en apportant des modifications au registre Windows pour charger la charge utile malveillante via le binaire Windows « rundll32.exe » lors de la phase de démarrage.
La campagne, qui remonterait à septembre 2021, est restée un mystère jusqu’à présent, sans aucun indice sur l’origine de l’acteur menaçant ou ses objectifs finaux.
La divulgation intervient alors que QNAP a déclaré qu’il enquêtait activement sur une nouvelle vague d’infections par rançongiciel Checkmate ciblant ses appareils, ce qui en fait la dernière d’une série d’attaques après AgeLockereCh0raix et DeadBolt.
« L’enquête préliminaire indique que Checkmate attaque via Services aux PME exposés à Internet et utilise une attaque par dictionnaire pour casser les comptes avec des mots de passe faibles », la société c’est noté dans un avis.
« Une fois que l’attaquant s’est connecté avec succès à un appareil, il chiffre les données dans les dossiers partagés et laisse une demande de rançon avec le nom de fichier » !CHECKMATE_DECRYPTION_README » dans chaque dossier. »
Par précaution, la société taïwanaise recommande aux clients de ne pas exposer les services SMB à Internet, d’améliorer la force du mot de passe, d’effectuer des sauvegardes régulières et de mettre à jour le système d’exploitation QNAP vers la dernière version.