{"id":553832,"date":"2023-01-11T18:21:45","date_gmt":"2023-01-11T20:21:45","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-nouvelle-analyse-revele-que-raspberry-robin-peut-etre-reutilise-par-dautres-acteurs-de-la-menace\/"},"modified":"2023-01-11T18:21:46","modified_gmt":"2023-01-11T20:21:46","slug":"une-nouvelle-analyse-revele-que-raspberry-robin-peut-etre-reutilise-par-dautres-acteurs-de-la-menace","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-nouvelle-analyse-revele-que-raspberry-robin-peut-etre-reutilise-par-dautres-acteurs-de-la-menace\/","title":{"rendered":"Une nouvelle analyse r\u00e9v\u00e8le que Raspberry Robin peut \u00eatre r\u00e9utilis\u00e9 par d&#8217;autres acteurs de la menace"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cybermenace\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une nouvelle analyse de l&#8217;infrastructure d&#8217;attaque de Raspberry Robin a <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sekoia.io\/raspberry-robins-botnet-second-life\/\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> qu&#8217;il est possible pour d&#8217;autres acteurs de la menace de r\u00e9utiliser les infections pour leurs propres activit\u00e9s malveillantes, ce qui en fait une menace encore plus puissante.<\/p>\n<p>Raspberry Robin (alias ver QNAP), attribu\u00e9 \u00e0 un acteur mena\u00e7ant surnomm\u00e9 DEV-0856, est un logiciel malveillant qui passe de plus en plus sous le radar pour \u00eatre utilis\u00e9 dans des attaques visant des entit\u00e9s financi\u00e8res, gouvernementales, d&#8217;assurance et de t\u00e9l\u00e9communications.<\/p>\n<p>Compte tenu de son utilisation de plusieurs acteurs de la menace pour d\u00e9poser un large \u00e9ventail de charges utiles telles que SocGholish, Bumblebee, TrueBot, <a rel=\"nofollow noopener\" href=\"https:\/\/www.team-cymru.com\/post\/inside-the-icedid-backconnect-protocol\" target=\"_blank\">ID glac\u00e9<\/a>et le ran\u00e7ongiciel LockBit, il est soup\u00e7onn\u00e9 d&#8217;\u00eatre un botnet de paiement par installation (PPI) capable de servir les charges utiles de la prochaine \u00e9tape.<\/p>\n<p>Raspberry Robin, notamment, utilise des cl\u00e9s USB infect\u00e9es comme m\u00e9canisme de propagation et exploite les p\u00e9riph\u00e9riques de stockage en r\u00e9seau (NAS) QNAP viol\u00e9s comme commande et contr\u00f4le de premier niveau (C2).<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 SEKOIA a d\u00e9clar\u00e9 qu&#8217;elle \u00e9tait en mesure d&#8217;identifier au moins huit serveurs priv\u00e9s virtuels (VPS) h\u00e9berg\u00e9s sur Linode qui fonctionnent comme une deuxi\u00e8me couche C2 qui agissent probablement comme des proxys de transfert vers le prochain niveau encore inconnu.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1673468504_794_Une-nouvelle-analyse-revele-que-Raspberry-Robin-peut-etre-reutilise.png\" alt=\"Rouge-gorge Framboise\" border=\"0\" data-original-height=\"413\" data-original-width=\"728\" title=\"Rouge-gorge Framboise\"\/><\/div>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1673468504_519_Une-nouvelle-analyse-revele-que-Raspberry-Robin-peut-etre-reutilise.png\" alt=\"Rouge-gorge Framboise\" border=\"0\" data-original-height=\"430\" data-original-width=\"728\" title=\"Rouge-gorge Framboise\"\/><\/div>\n<p>&#8220;Chaque QNAP compromis semble agir en tant que validateur et transitaire&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 bas\u00e9e en France.  &#8220;Si la requ\u00eate re\u00e7ue est valide, elle est redirig\u00e9e vers un niveau sup\u00e9rieur d&#8217;infrastructure.&#8221;<\/p>\n<p>La cha\u00eene d&#8217;attaque se d\u00e9roule donc comme suit : Lorsqu&#8217;un utilisateur ins\u00e8re la cl\u00e9 USB et lance un fichier de raccourci Windows (.LNK), le <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/administration\/windows-commands\/msiexec\" target=\"_blank\">utilitaire msiexec<\/a> est lanc\u00e9, qui, \u00e0 son tour, t\u00e9l\u00e9charge les principaux <a rel=\"nofollow noopener\" href=\"https:\/\/decoded.avast.io\/janvojtesek\/raspberry-robins-roshtyak-a-little-lesson-in-trickery\/\" target=\"_blank\">charge utile Raspberry Robin obscurcie<\/a> depuis l&#8217;instance QNAP.<\/p>\n<p>Cette d\u00e9pendance \u00e0 msiexec pour envoyer des requ\u00eates HTTP pour r\u00e9cup\u00e9rer le logiciel malveillant permet de d\u00e9tourner ces requ\u00eates pour t\u00e9l\u00e9charger une autre charge utile MSI malveillante, soit par des attaques de piratage DNS, soit en achetant des domaines pr\u00e9c\u00e9demment connus apr\u00e8s leur expiration.<\/p>\n<p>Un tel domaine est tiua[.]uk, qui a \u00e9t\u00e9 enregistr\u00e9 au d\u00e9but de la campagne fin juillet 2021 et utilis\u00e9 comme C2 entre le 22 septembre 2021 et le 30 novembre 2022, date \u00e0 laquelle il a \u00e9t\u00e9 suspendu par le registre .UK.<\/p>\n<p>&#8220;En pointant ce domaine vers notre gouffre, nous avons pu obtenir la t\u00e9l\u00e9m\u00e9trie de l&#8217;un des premiers domaines utilis\u00e9s par les op\u00e9rateurs de Raspberry Robin&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9, ajoutant avoir observ\u00e9 plusieurs victimes, indiquant &#8220;qu&#8217;il \u00e9tait encore possible de r\u00e9affecter un domaine Raspberry Robin&#8221;. pour activit\u00e9s malveillantes.&#8221;<\/p>\n<p>Les origines exactes de la fa\u00e7on dont la premi\u00e8re vague d&#8217;infections USB de Raspberry Robin a eu lieu restent actuellement inconnues, bien que l&#8217;on soup\u00e7onne qu&#8217;elle ait pu \u00eatre obtenue en s&#8217;appuyant sur d&#8217;autres logiciels malveillants pour diffuser le ver.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1673468505_600_Une-nouvelle-analyse-revele-que-Raspberry-Robin-peut-etre-reutilise.png\" alt=\"Rouge-gorge Framboise\" border=\"0\" data-original-height=\"403\" data-original-width=\"728\" title=\"Rouge-gorge Framboise\"\/><\/div>\n<p>Cette hypoth\u00e8se est attest\u00e9e par la pr\u00e9sence d&#8217;un module d&#8217;\u00e9pandage .NET qui serait responsable de la distribution des fichiers Raspberry Robin .LNK des h\u00f4tes infect\u00e9s vers les cl\u00e9s USB.  Ces fichiers .LNK compromettent ensuite d&#8217;autres machines via la m\u00e9thode susmentionn\u00e9e. <\/p>\n<p>Le d\u00e9veloppement intervient quelques jours apr\u00e8s que Mandiant de Google a r\u00e9v\u00e9l\u00e9 que le groupe Turla, li\u00e9 \u00e0 la Russie, avait r\u00e9utilis\u00e9 des domaines expir\u00e9s associ\u00e9s au logiciel malveillant ANDROMEDA pour fournir des outils de reconnaissance et de porte d\u00e9rob\u00e9e aux cibles compromises par ce dernier en Ukraine.<\/p>\n<p>&#8220;Les botnets ont plusieurs objectifs et peuvent \u00eatre r\u00e9utilis\u00e9s et\/ou remodel\u00e9s par leurs op\u00e9rateurs ou m\u00eame d\u00e9tourn\u00e9s par d&#8217;autres groupes au fil du temps&#8221;, a d\u00e9clar\u00e9 le chercheur.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/new-analysis-reveals-raspberry-robin.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 janvier 2023\ue804Ravie LakshmananCybermenace\/malware Une nouvelle analyse de l&#8217;infrastructure d&#8217;attaque de Raspberry Robin a r\u00e9v\u00e9l\u00e9 qu&#8217;il est possible pour d&#8217;autres acteurs de la menace de r\u00e9utiliser les infections pour leurs propres activit\u00e9s malveillantes, ce qui en fait une menace encore plus puissante. Raspberry Robin (alias ver QNAP), attribu\u00e9 \u00e0 un acteur mena\u00e7ant surnomm\u00e9 DEV-0856, est [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":553833,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3178,1342,4168,4158,4165,4161,4114,1643,4157,4159,4171,4170,4167,596,4160,197,4163,4162,164,181,42956,56632,2178,4792,4172,4169,196,4166,4164],"class_list":["post-553832","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-acteurs","tag-analyse","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dautres","tag-etre","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-menace","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-par","tag-peut","tag-raspberry","tag-reutilise","tag-revele","tag-robin","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/553832","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=553832"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/553832\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/553833"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=553832"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=553832"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=553832"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}