La Rouge-gorge Framboise Le ver devient un logiciel malveillant d’accès en tant que service pour déployer d’autres charges utiles, notamment IcedID, Bumblebee, TrueBot (alias Silence) et Clop ransomware.
Il fait « partie d’un écosystème de logiciels malveillants complexe et interconnecté, avec des liens vers d’autres familles de logiciels malveillants et des méthodes d’infection alternatives au-delà de sa propagation sur clé USB d’origine », a déclaré le Microsoft Security Threat Intelligence Center (MSTIC). a dit dans un écrit détaillé.
Raspberry Robin, également appelé ver QNAP en raison de l’utilisation de serveurs de stockage QNAP compromis pour la commande et le contrôle, est le nom donné à un logiciel malveillant par la société de cybersécurité Red Canary qui se propage aux systèmes Windows via des clés USB infectées.
MSTIC garde un œil sur le groupe d’activité derrière les infections USB Raspberry Robin comme DEV-0856ajoutant qu’il a connaissance d’au moins quatre points d’entrée confirmés qui ont tous pour objectif final probable de déployer des ransomwares.
L’équipe de cybersécurité du géant de la technologie a déclaré que Raspberry Robin était passé d’un ver largement distribué sans actions post-infection observées à l’une des plus grandes plateformes de distribution de logiciels malveillants actuellement actives.
Selon les données de télémétrie recueillies auprès de Microsoft Defender pour Endpoint, environ 3 000 appareils répartis sur près de 1 000 organisations ont rencontré au moins une alerte liée à la charge utile Raspberry Robin au cours des 30 derniers jours.
Le dernier développement s’ajoute aux preuves croissantes d’activités de post-exploitation liées à Raspberry Robin, qui, en juillet 2022, a été découvert agissant comme un canal pour diffuser le malware FakeUpdates (alias SocGholish).
Cette activité FakeUpdates a également été suivie d’un comportement pré-ransomware attribué à un cluster de menaces suivi par Microsoft sous le nom de DEV-0243 (alias Evil Corp), le tristement célèbre syndicat russe de la cybercriminalité derrière le cheval de Troie Dridex et un cadre de commande et de contrôle (C2) appelé TeslaGun.
Microsoft, en octobre 2022, a déclaré avoir détecté que Raspberry Robin était utilisé dans une activité post-compromise attribuée à un autre acteur de menace dont le nom de code est DEV-0950 et qui chevauche des groupes surveillés publiquement sous les noms FIN11 et TA505.
Alors que les noms FIN11 et TA505 ont souvent été utilisés de manière interchangeable, Mandiant, propriété de Google (anciennement FireEye) décrit FIN11 en tant que sous-ensemble d’activités relevant du Groupe TA505.
Il convient également de souligner l’amalgame de Evil Corp et TA505bien que Propoint évalue « TA505 est différent d’Evil Corp », suggérant que ces clusters partagent des points communs tactiques partiels les uns avec les autres.
« À partir d’une infection par Raspberry Robin, l’activité DEV-0950 a conduit à des compromis sur le clavier de Cobalt Strike, parfois avec une infection TrueBot observée entre les stades Raspberry Robin et Cobalt Strike », a déclaré le chercheur. « L’activité a abouti au déploiement du rançongiciel Clop. »
Microsoft a également émis l’hypothèse que les acteurs derrière ces campagnes de logiciels malveillants liés à Raspberry Robin payaient les opérateurs du ver pour la livraison de la charge utile, leur permettant de s’éloigner du phishing en tant que vecteur pour acquérir de nouvelles victimes.
De plus, un acteur cybercriminel surnommé DEV-0651 a été lié à la distribution d’un autre artefact appelé Fauppod par l’abus de services cloud légitimes, qui présente des similitudes de code avec Raspberry Robin et supprime également le malware FakeUpdates.
Le fabricant de Windows a en outre noté avec une confiance moyenne que Fauppod représente le premier maillon connu de la chaîne d’infection Raspberry Robin pour propager cette dernière via des fichiers LNK sur des clés USB.
Pour ajouter au casse-tête de l’attaque, IBM Security X-Force, au début du mois dernier, a identifié des similitudes fonctionnelles entre un composant de chargeur utilisé dans la chaîne d’infection Raspberry Robin et le malware Dridex. Microsoft attribue cette connexion au niveau du code à Fauppod adoptant les méthodes de Dridex pour éviter l’exécution dans des environnements spécifiques.
« La chaîne d’infection de Raspberry Robin est un processus déroutant et carte compliquée de multiples points d’infection qui peuvent conduire à de nombreux résultats différents, même dans des scénarios où deux hôtes sont infectés simultanément », a déclaré Microsoft.