{"id":541016,"date":"2023-01-03T15:29:24","date_gmt":"2023-01-03T17:29:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/raspberry-robin-worm-evolue-pour-attaquer-les-secteurs-de-la-finance-et-de-lassurance-en-europe\/"},"modified":"2023-01-03T15:29:25","modified_gmt":"2023-01-03T17:29:25","slug":"raspberry-robin-worm-evolue-pour-attaquer-les-secteurs-de-la-finance-et-de-lassurance-en-europe","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/raspberry-robin-worm-evolue-pour-attaquer-les-secteurs-de-la-finance-et-de-lassurance-en-europe\/","title":{"rendered":"Raspberry Robin Worm \u00e9volue pour attaquer les secteurs de la finance et de l&#8217;assurance en Europe"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">03 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Post-exploitation \/ Logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les secteurs de la finance et de l&#8217;assurance en Europe ont \u00e9t\u00e9 cibl\u00e9s par la <b>Rouge-gorge Framboise<\/b> ver, car le logiciel malveillant continue de faire \u00e9voluer ses capacit\u00e9s de post-exploitation tout en restant sous le radar.<\/p>\n<p>&#8220;Ce qui est unique avec le malware, c&#8217;est qu&#8217;il est fortement obscurci et tr\u00e8s complexe \u00e0 d\u00e9sassembler statiquement&#8221;, a d\u00e9clar\u00e9 Security Joes. <a rel=\"nofollow noopener\" href=\"https:\/\/www.securityjoes.com\/post\/raspberry-robin-detected-itw-targeting-insurance-financial-institutes-in-europe\" target=\"_blank\">m&#8217;a dit<\/a> dans un nouveau rapport publi\u00e9 lundi.<\/p>\n<p>Les intrusions, observ\u00e9es contre des organisations hispanophones et lusophones, se distinguent par la collecte de plus de donn\u00e9es sur les machines des victimes que pr\u00e9c\u00e9demment document\u00e9, le logiciel malveillant pr\u00e9sentant d\u00e9sormais des techniques sophistiqu\u00e9es pour r\u00e9sister \u00e0 l&#8217;analyse.<\/p>\n<p>Raspberry Robin, \u00e9galement appel\u00e9 ver QNAP, est utilis\u00e9 par plusieurs acteurs malveillants comme moyen de s&#8217;implanter dans les r\u00e9seaux cibles.  Diffus\u00e9 via des cl\u00e9s USB infect\u00e9es et d&#8217;autres m\u00e9thodes, le framework a r\u00e9cemment \u00e9t\u00e9 utilis\u00e9 dans des attaques visant les secteurs des t\u00e9l\u00e9communications et du gouvernement.<\/p>\n<p>Microsoft suit les op\u00e9rateurs de Raspberry Robin sous le nom de DEV-0856.<\/p>\n<p>L&#8217;enqu\u00eate m\u00e9dico-l\u00e9gale de Security Joes sur une telle attaque a r\u00e9v\u00e9l\u00e9 l&#8217;utilisation d&#8217;un fichier 7-Zip, qui est t\u00e9l\u00e9charg\u00e9 depuis le navigateur de la victime via l&#8217;ing\u00e9nierie sociale et contient un fichier d&#8217;installation MSI con\u00e7u pour supprimer plusieurs modules.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1672766964_272_Raspberry-Robin-Worm-evolue-pour-attaquer-les-secteurs-de-la.png\" alt=\"Ver rouge-gorge framboise\" border=\"0\" data-original-height=\"451\" data-original-width=\"728\" title=\"Ver rouge-gorge framboise\"\/><\/div>\n<p>Dans un autre cas, un fichier ZIP aurait \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 par la victime via une publicit\u00e9 frauduleuse h\u00e9berg\u00e9e sur un domaine connu pour distribuer des logiciels publicitaires.<\/p>\n<p>Le fichier d&#8217;archive, stock\u00e9 sur un serveur Discord, contient du code JavaScript cod\u00e9 qui, lors de son ex\u00e9cution, supprime un t\u00e9l\u00e9chargeur prot\u00e9g\u00e9 par de nombreuses couches d&#8217;obscurcissement et de cryptage pour \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n<p>Le t\u00e9l\u00e9chargeur de shellcode est principalement con\u00e7u pour r\u00e9cup\u00e9rer des ex\u00e9cutables suppl\u00e9mentaires, mais il a \u00e9galement connu des mises \u00e0 niveau importantes qui lui permettent de profiler ses victimes pour fournir des charges utiles appropri\u00e9es, recourant m\u00eame dans certains cas \u00e0 une forme de ruse en servant de faux logiciels malveillants.<\/p>\n<p>Cela implique la collecte de l&#8217;identifiant universel unique de l&#8217;h\u00f4te (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Universally_unique_identifier\" target=\"_blank\">UUID<\/a>), le nom du processeur, les p\u00e9riph\u00e9riques d&#8217;affichage connect\u00e9s et le nombre de minutes \u00e9coul\u00e9es depuis le d\u00e9marrage du syst\u00e8me, ainsi que les informations sur le nom d&#8217;h\u00f4te et le nom d&#8217;utilisateur recueillies par les anciennes versions du logiciel malveillant.<\/p>\n<p>Les donn\u00e9es de reconnaissance sont ensuite crypt\u00e9es \u00e0 l&#8217;aide d&#8217;une cl\u00e9 cod\u00e9e en dur et transmises \u00e0 un serveur de commande et de contr\u00f4le (C2), qui r\u00e9pond avec un binaire Windows qui est ensuite ex\u00e9cut\u00e9 sur la machine.<\/p>\n<p>&#8220;Non seulement nous avons d\u00e9couvert une version du logiciel malveillant qui est plusieurs fois plus complexe, mais nous avons \u00e9galement constat\u00e9 que le balisage C2, qui avait auparavant une URL avec un nom d&#8217;utilisateur et un nom d&#8217;h\u00f4te en clair, dispose d\u00e9sormais d&#8217;une charge utile crypt\u00e9e RC4 robuste&#8221;, menace a d\u00e9clar\u00e9 le chercheur Felipe Duarte.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/raspberry-robin-worm-evolves-to-attack.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80203 janvier 2023\ue804Ravie LakshmananPost-exploitation \/ Logiciels malveillants Les secteurs de la finance et de l&#8217;assurance en Europe ont \u00e9t\u00e9 cibl\u00e9s par la Rouge-gorge Framboise ver, car le logiciel malveillant continue de faire \u00e9voluer ses capacit\u00e9s de post-exploitation tout en restant sous le radar. &#8220;Ce qui est unique avec le malware, c&#8217;est qu&#8217;il est fortement obscurci [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":541017,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8626,4168,4158,4165,4161,1654,2223,17251,4157,4159,4171,4170,38358,65,4167,4160,4163,4162,185,42956,4792,33952,4172,4169,4166,4164,133792],"class_list":["post-541016","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaquer","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-europe","tag-evolue","tag-finance","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lassurance","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-raspberry","tag-robin","tag-secteurs","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-worm"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/541016","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=541016"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/541016\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/541017"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=541016"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=541016"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=541016"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}