{"id":436712,"date":"2022-10-29T02:34:31","date_gmt":"2022-10-29T04:34:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-operateurs-raspberry-robin-vendent-aux-cybercriminels-lacces-a-des-milliers-de-terminaux\/"},"modified":"2022-10-29T02:34:32","modified_gmt":"2022-10-29T04:34:32","slug":"les-operateurs-raspberry-robin-vendent-aux-cybercriminels-lacces-a-des-milliers-de-terminaux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-operateurs-raspberry-robin-vendent-aux-cybercriminels-lacces-a-des-milliers-de-terminaux\/","title":{"rendered":"Les op\u00e9rateurs Raspberry Robin vendent aux cybercriminels l&#8217;acc\u00e8s \u00e0 des milliers de terminaux"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>La <b>Rouge-gorge Framboise<\/b> Le ver devient un logiciel malveillant d&#8217;acc\u00e8s en tant que service pour d\u00e9ployer d&#8217;autres charges utiles, notamment IcedID, Bumblebee, TrueBot (alias Silence) et Clop ransomware.<\/p>\n<p>Il fait &#8220;partie d&#8217;un \u00e9cosyst\u00e8me de logiciels malveillants complexe et interconnect\u00e9, avec des liens vers d&#8217;autres familles de logiciels malveillants et des m\u00e9thodes d&#8217;infection alternatives au-del\u00e0 de sa propagation sur cl\u00e9 USB d&#8217;origine&#8221;, a d\u00e9clar\u00e9 le Microsoft Security Threat Intelligence Center (MSTIC). <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2022\/10\/27\/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity\/\" target=\"_blank\">a dit<\/a> dans un \u00e9crit d\u00e9taill\u00e9.<\/p>\n<p>Raspberry Robin, \u00e9galement appel\u00e9 ver QNAP en raison de l&#8217;utilisation de serveurs de stockage QNAP compromis pour la commande et le contr\u00f4le, est le nom donn\u00e9 \u00e0 un logiciel malveillant par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Red Canary qui se propage aux syst\u00e8mes Windows via des cl\u00e9s USB infect\u00e9es.<\/p>\n<p>MSTIC garde un \u0153il sur le groupe d&#8217;activit\u00e9 derri\u00e8re les infections USB Raspberry Robin comme <strong>DEV-0856<\/strong>ajoutant qu&#8217;il a connaissance d&#8217;au moins quatre points d&#8217;entr\u00e9e confirm\u00e9s qui ont tous pour objectif final probable de d\u00e9ployer des ransomwares.<\/p>\n<p>L&#8217;\u00e9quipe de cybers\u00e9curit\u00e9 du g\u00e9ant de la technologie a d\u00e9clar\u00e9 que Raspberry Robin \u00e9tait pass\u00e9 d&#8217;un ver largement distribu\u00e9 sans actions post-infection observ\u00e9es \u00e0 l&#8217;une des plus grandes plateformes de distribution de logiciels malveillants actuellement actives.<\/p>\n<p>Selon les donn\u00e9es de t\u00e9l\u00e9m\u00e9trie recueillies aupr\u00e8s de Microsoft Defender pour Endpoint, environ 3 000 appareils r\u00e9partis sur pr\u00e8s de 1 000 organisations ont rencontr\u00e9 au moins une alerte li\u00e9e \u00e0 la charge utile Raspberry Robin au cours des 30 derniers jours.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Rouge-gorge Framboise\" border=\"0\" data-original-height=\"199\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1667018070_354_Les-operateurs-Raspberry-Robin-vendent-aux-cybercriminels-lacces-a-des.jpg\" title=\"Rouge-gorge Framboise\" \/><\/div>\n<p>Le dernier d\u00e9veloppement s&#8217;ajoute aux preuves croissantes d&#8217;activit\u00e9s de post-exploitation li\u00e9es \u00e0 Raspberry Robin, qui, en juillet 2022, a \u00e9t\u00e9 d\u00e9couvert agissant comme un canal pour diffuser le malware FakeUpdates (alias SocGholish).<\/p>\n<p>Cette activit\u00e9 FakeUpdates a \u00e9galement \u00e9t\u00e9 suivie d&#8217;un comportement pr\u00e9-ransomware attribu\u00e9 \u00e0 un cluster de menaces suivi par Microsoft sous le nom de DEV-0243 (alias Evil Corp), le tristement c\u00e9l\u00e8bre syndicat russe de la cybercriminalit\u00e9 derri\u00e8re le cheval de Troie Dridex et un cadre de commande et de contr\u00f4le (C2) appel\u00e9 TeslaGun.<\/p>\n<p>Microsoft, en octobre 2022, a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 que Raspberry Robin \u00e9tait utilis\u00e9 dans une activit\u00e9 post-compromise attribu\u00e9e \u00e0 un autre acteur de menace dont le nom de code est DEV-0950 et qui chevauche des groupes surveill\u00e9s publiquement sous les noms FIN11 et TA505.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Rouge-gorge Framboise\" border=\"0\" data-original-height=\"384\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1667018071_352_Les-operateurs-Raspberry-Robin-vendent-aux-cybercriminels-lacces-a-des.jpg\" title=\"Rouge-gorge Framboise\" \/><\/div>\n<p>Alors que les noms FIN11 et TA505 ont souvent \u00e9t\u00e9 utilis\u00e9s de mani\u00e8re interchangeable, Mandiant, propri\u00e9t\u00e9 de Google (anciennement FireEye) <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/fin11-email-campaigns-precursor-for-ransomware-data-theft\" target=\"_blank\">d\u00e9crit<\/a> FIN11 en tant que sous-ensemble d&#8217;activit\u00e9s relevant du <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/threat-insight\/post\/threat-actor-profile-ta505-dridex-globeimposter\" target=\"_blank\">Groupe TA505<\/a>.<\/p>\n<p>Il convient \u00e9galement de souligner l&#8217;amalgame de <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/msftsecintel\/status\/1222995250911703041\" target=\"_blank\">Evil Corp et TA505<\/a>bien que Propoint <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/likethecoins\/status\/1316386903265079297\" target=\"_blank\">\u00e9value<\/a> &#8220;TA505 est diff\u00e9rent d&#8217;Evil Corp&#8221;, sugg\u00e9rant que ces clusters partagent des points communs tactiques partiels les uns avec les autres.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663940313_323_Des-chercheurs-decouvrent-le-nouveau-Metador-APT-ciblant-les-operateurs.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>\u00ab \u00c0 partir d&#8217;une infection par Raspberry Robin, l&#8217;activit\u00e9 DEV-0950 a conduit \u00e0 des compromis sur le clavier de Cobalt Strike, parfois avec une infection TrueBot observ\u00e9e entre les stades Raspberry Robin et Cobalt Strike \u00bb, a d\u00e9clar\u00e9 le chercheur.  &#8220;L&#8217;activit\u00e9 a abouti au d\u00e9ploiement du ran\u00e7ongiciel Clop.&#8221;<\/p>\n<p>Microsoft a \u00e9galement \u00e9mis l&#8217;hypoth\u00e8se que les acteurs derri\u00e8re ces campagnes de logiciels malveillants li\u00e9s \u00e0 Raspberry Robin payaient les op\u00e9rateurs du ver pour la livraison de la charge utile, leur permettant de s&#8217;\u00e9loigner du phishing en tant que vecteur pour acqu\u00e9rir de nouvelles victimes.<\/p>\n<p>De plus, un acteur cybercriminel surnomm\u00e9 DEV-0651 a \u00e9t\u00e9 li\u00e9 \u00e0 la distribution d&#8217;un autre artefact appel\u00e9 Fauppod par l&#8217;abus de services cloud l\u00e9gitimes, qui pr\u00e9sente des similitudes de code avec Raspberry Robin et supprime \u00e9galement le malware FakeUpdates.<\/p>\n<p>Le fabricant de Windows a en outre not\u00e9 avec une confiance moyenne que Fauppod repr\u00e9sente le premier maillon connu de la cha\u00eene d&#8217;infection Raspberry Robin pour propager cette derni\u00e8re via des fichiers LNK sur des cl\u00e9s USB.<\/p>\n<p>Pour ajouter au casse-t\u00eate de l&#8217;attaque, IBM Security X-Force, au d\u00e9but du mois dernier, a identifi\u00e9 des similitudes fonctionnelles entre un composant de chargeur utilis\u00e9 dans la cha\u00eene d&#8217;infection Raspberry Robin et le malware Dridex.  Microsoft attribue cette connexion au niveau du code \u00e0 Fauppod adoptant les m\u00e9thodes de Dridex pour \u00e9viter l&#8217;ex\u00e9cution dans des environnements sp\u00e9cifiques.<\/p>\n<p>&#8220;La cha\u00eene d&#8217;infection de Raspberry Robin est un processus d\u00e9routant et <a rel=\"nofollow noopener\" href=\"https:\/\/decoded.avast.io\/janvojtesek\/raspberry-robins-roshtyak-a-little-lesson-in-trickery\/\" target=\"_blank\">carte compliqu\u00e9e<\/a> de multiples points d&#8217;infection qui peuvent conduire \u00e0 de nombreux r\u00e9sultats diff\u00e9rents, m\u00eame dans des sc\u00e9narios o\u00f9 deux h\u00f4tes sont infect\u00e9s simultan\u00e9ment \u00bb, a d\u00e9clar\u00e9 Microsoft.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/raspberry-robin-operators-selling.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La Rouge-gorge Framboise Le ver devient un logiciel malveillant d&#8217;acc\u00e8s en tant que service pour d\u00e9ployer d&#8217;autres charges utiles, notamment IcedID, Bumblebee, TrueBot (alias Silence) et Clop ransomware. Il fait &#8220;partie d&#8217;un \u00e9cosyst\u00e8me de logiciels malveillants complexe et interconnect\u00e9, avec des liens vers d&#8217;autres familles de logiciels malveillants et des m\u00e9thodes d&#8217;infection alternatives au-del\u00e0 de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":436713,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[507,4168,4158,4165,4161,37976,133,4157,4159,4171,4170,6489,65,4167,1558,4160,4163,4162,14696,42956,4792,4172,4169,70850,18759,4166,4164],"class_list":["post-436712","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-aux","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cybercriminels","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lacces","tag-les","tag-logiciel-malveillant-de-ransomware","tag-milliers","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-operateurs","tag-raspberry","tag-robin","tag-securite-informatique","tag-securite-internet","tag-terminaux","tag-vendent","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/436712","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=436712"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/436712\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/436713"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=436712"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=436712"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=436712"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}