{"id":1141322,"date":"2024-02-09T16:56:54","date_gmt":"2024-02-09T18:56:54","guid":{"rendered":"https:\/\/teknomers.com\/fr\/mises-a-niveau-du-logiciel-malveillant-raspberry-robin-avec-discord-spread-et-nouveaux-exploits\/"},"modified":"2024-02-09T16:56:57","modified_gmt":"2024-02-09T18:56:57","slug":"mises-a-niveau-du-logiciel-malveillant-raspberry-robin-avec-discord-spread-et-nouveaux-exploits","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/mises-a-niveau-du-logiciel-malveillant-raspberry-robin-avec-discord-spread-et-nouveaux-exploits\/","title":{"rendered":"Mises \u00e0 niveau du logiciel malveillant Raspberry Robin avec Discord Spread et nouveaux exploits"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Logiciels malveillants\/Web sombre<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Mises-a-niveau-du-logiciel-malveillant-Raspberry-Robin-avec-Discord.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les op\u00e9rateurs de <strong>Rouge-gorge Framboise<\/strong> utilisent d\u00e9sormais deux nouveaux exploits d&#8217;une journ\u00e9e pour obtenir une \u00e9l\u00e9vation de privil\u00e8ges locale, m\u00eame si le logiciel malveillant continue d&#8217;\u00eatre affin\u00e9 et am\u00e9lior\u00e9 pour le rendre plus furtif qu&#8217;auparavant.<\/p>\n<p>Cela signifie que &#8220;Raspberry Robin a acc\u00e8s \u00e0 un vendeur d&#8217;exploits ou que ses auteurs d\u00e9veloppent eux-m\u00eames les exploits dans un court laps de temps&#8221;, indique Check Point. <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2024\/raspberry-robin-keeps-riding-the-wave-of-endless-1-days\/\" target=\"_blank\">dit<\/a> dans un rapport cette semaine.<\/p>\n<p>Raspberry Robin (alias ver QNAP), document\u00e9 pour la premi\u00e8re fois en 2021, est une famille de logiciels malveillants \u00e9vasifs connue pour agir comme l&#8217;un des <a rel=\"nofollow noopener\" href=\"https:\/\/www.reliaquest.com\/blog\/the-3-malware-loaders-behind-80-of-incidents\/\" target=\"_blank\">meilleurs facilitateurs d\u2019acc\u00e8s initial<\/a> pour d\u2019autres charges utiles malveillantes, y compris les ransomwares.<\/p>\n<p>Attribu\u00e9 \u00e0 un acteur malveillant nomm\u00e9 Storm-0856 (anciennement DEV-0856), il se propage via plusieurs vecteurs d&#8217;entr\u00e9e, notamment des cl\u00e9s USB infect\u00e9es, Microsoft le d\u00e9crivant comme faisant partie d&#8217;un \u00ab \u00e9cosyst\u00e8me de logiciels malveillants complexe et interconnect\u00e9 \u00bb ayant des liens avec d&#8217;autres cybercrimes. des groupes comme Evil Corp, Silence et TA505.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707338666_510_La-Coalition-mondiale-et-les-geants-de-la-technologie-sunissent.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;utilisation par Raspberry Robin d&#8217;exploits d&#8217;un jour tels que CVE-2020-1054 et CVE-2021-1732 pour l&#8217;\u00e9l\u00e9vation de privil\u00e8ges a \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2023\/raspberry-robin-anti-evasion-how-to-exploit-analysis\/\" target=\"_blank\">pr\u00e9c\u00e9demment mis en \u00e9vidence<\/a> par Check Point en avril 2023.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9, qui a d\u00e9tect\u00e9 de \u00ab grandes vagues d&#8217;attaques \u00bb depuis octobre 2023, a d\u00e9clar\u00e9 que les acteurs de la menace ont mis en \u0153uvre des techniques suppl\u00e9mentaires d&#8217;anti-analyse et d&#8217;obscurcissement pour rendre plus difficile la d\u00e9tection et l&#8217;analyse.<\/p>\n<p>&#8220;Plus important encore, Raspberry Robin continue d&#8217;utiliser diff\u00e9rents exploits pour des vuln\u00e9rabilit\u00e9s avant ou peu de temps apr\u00e8s leur divulgation publique&#8221;, note-t-il.<\/p>\n<p>&#8220;Ces exploits d&#8217;une journ\u00e9e n&#8217;ont pas \u00e9t\u00e9 divulgu\u00e9s publiquement au moment de leur utilisation. Un exploit pour l&#8217;une des vuln\u00e9rabilit\u00e9s, CVE-2023-36802, a \u00e9galement \u00e9t\u00e9 utilis\u00e9 dans la nature comme un jour z\u00e9ro et a \u00e9t\u00e9 vendu sur le dark web. &#8220;<\/p>\n<p>Un rapport de Cyfirma \u00e0 la fin de l&#8217;ann\u00e9e derni\u00e8re <a rel=\"nofollow noopener\" href=\"https:\/\/www.cyfirma.com\/outofband\/critical-exploits-for-sale-on-the-dark-web\/\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> qu&#8217;un exploit pour <a rel=\"nofollow noopener\" href=\"https:\/\/securityintelligence.com\/x-force\/critically-close-to-zero-day-exploiting-microsoft-kernel-streaming-service\/\" target=\"_blank\">CVE-2023-36802<\/a> \u00e9tait annonc\u00e9 sur les forums du Dark Web en f\u00e9vrier 2023. C&#8217;\u00e9tait sept mois avant que Microsoft et CISA ne publient un avis sur l&#8217;exploitation active.  Il a \u00e9t\u00e9 corrig\u00e9 par le fabricant de Windows en septembre 2023.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707505013_69_Mises-a-niveau-du-logiciel-malveillant-Raspberry-Robin-avec-Discord.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707505013_69_Mises-a-niveau-du-logiciel-malveillant-Raspberry-Robin-avec-Discord.jpg\" alt=\"Logiciel malveillant Raspberry Robin\" border=\"0\" data-original-height=\"311\" data-original-width=\"728\" title=\"Logiciel malveillant Raspberry Robin\"\/><\/a><\/div>\n<p>Raspberry Robin aurait commenc\u00e9 \u00e0 utiliser un exploit pour la faille en octobre 2023, le m\u00eame mois o\u00f9 un code d&#8217;exploitation public a \u00e9t\u00e9 rendu disponible, ainsi que pour <a rel=\"nofollow noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2023-29360\" target=\"_blank\">CVE-2023-29360<\/a> en ao\u00fbt.  Ce dernier a \u00e9t\u00e9 divulgu\u00e9 publiquement en juin 2023, mais un exploit pour le bug n&#8217;est apparu qu&#8217;en septembre 2023.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il a \u00e9t\u00e9 estim\u00e9 que les auteurs de la menace ach\u00e8tent ces exploits plut\u00f4t que de les d\u00e9velopper en interne, car ils sont utilis\u00e9s comme un ex\u00e9cutable externe de 64 bits et ne sont pas aussi obscurcis que le module principal du malware.<\/p>\n<p>&#8220;La capacit\u00e9 de Raspberry Robin \u00e0 int\u00e9grer rapidement des exploits r\u00e9cemment divulgu\u00e9s dans son arsenal d\u00e9montre en outre un niveau de menace important, exploitant les vuln\u00e9rabilit\u00e9s avant que de nombreuses organisations n&#8217;appliquent des correctifs&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>L&#8217;un des autres changements importants concerne la voie d&#8217;acc\u00e8s initiale elle-m\u00eame, exploitant des fichiers d&#8217;archives RAR malveillants contenant des \u00e9chantillons Raspberry Robin h\u00e9berg\u00e9s sur Discord.<\/p>\n<p>La logique de mouvement lat\u00e9ral est \u00e9galement modifi\u00e9e dans les variantes les plus r\u00e9centes, qui utilise d\u00e9sormais PAExec.exe au lieu de PsExec.exe, ainsi que la m\u00e9thode de communication de commande et de contr\u00f4le (C2) en choisissant au hasard une adresse d&#8217;oignon V3 dans une liste de 60 oignons cod\u00e9s en dur. adresses.<\/p>\n<p>&#8220;Cela commence par essayer de contacter des domaines Tor l\u00e9gitimes et bien connus et de v\u00e9rifier s&#8217;il obtient une r\u00e9ponse&#8221;, a expliqu\u00e9 Check Point.  &#8220;S&#8217;il n&#8217;y a pas de r\u00e9ponse, Raspberry Robin n&#8217;essaie pas de communiquer avec les vrais serveurs C2.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/raspberry-robin-malware-upgrades-with.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 f\u00e9vrier 2024\ue804R\u00e9dactionLogiciels malveillants\/Web sombre Les op\u00e9rateurs de Rouge-gorge Framboise utilisent d\u00e9sormais deux nouveaux exploits d&#8217;une journ\u00e9e pour obtenir une \u00e9l\u00e9vation de privil\u00e8ges locale, m\u00eame si le logiciel malveillant continue d&#8217;\u00eatre affin\u00e9 et am\u00e9lior\u00e9 pour le rendre plus furtif qu&#8217;auparavant. Cela signifie que &#8220;Raspberry Robin a acc\u00e8s \u00e0 un vendeur d&#8217;exploits ou que ses auteurs [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1141323,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,84,4168,4165,4161,200267,21715,29859,4159,4171,6816,200271,7733,5115,200268,2073,4588,200269,200270,42956,4792,128318,4172,4169,78865,4166,4164],"class_list":["post-1141322","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-avec","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-discord","tag-exploits","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-malveillant","tag-mises","tag-mises-a-jour-sur-la-cybersecurite","tag-niveau","tag-nouveaux","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-raspberry","tag-robin","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-spread","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1141322","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1141322"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1141322\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1141323"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1141322"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1141322"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1141322"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}