Группа реагирования на инциденты Security Joes узнала, что хакерские группы используют новую версию Raspberry Robin для атак на финансовые институты в Европе.
В последней версии механизм защиты от вредоносного ПО был усовершенствован, чтобы развернуть как минимум пять уровней защиты до развертывания вредоносного кода, включая упаковщик первого этапа, скрывающий код следующих этапов атаки, за которым следует загрузчик шеллкода.
Следующие три уровня включают DLL-загрузчик второго этапа, промежуточный шеллкод и, наконец, загрузчик шеллкода. Эта сложная структура делает червя более трудным для обнаружения и одновременно облегчает латеральное перемещение по сетям. Исследование также показало, что операторы Raspberry Robin начали собирать больше данных о своих жертвах, чем сообщалось ранее.
Raspberry Robin IOCs
- Raspberry Robin Worm IOCs
- Raspberry Robin Worm IOCs - Part 2
- Raspberry Robin (Roshtyak) - Part 3
- Raspberry Robin Worm IOCs - Part 4
- Raspberry Robin Worm IOCs - Part 5
- Raspberry Robin Malware IOCs
Indicators of Compromise
IPv4
- 85.56.236.45
IPv4 Port Combinations
- 85.56.236.45:8080
SHA256
- 21122891977d9296eea86a8a292b2ba7677766a2085566a6e93ecf60f0ac6ee5
- 9c9426776b62a4461b7a9237a971fb3c5fc3222acd303506a763aa1d314a1573
- ac7d57c011c1bf1b3158a64d4c91e1d5c54e8d05cdeb9d1fadcbb0c4d5103428
- b11805162d3ae3d3c6635c240d004d1fe942a9cde25fb701c92a8e135d37d100
- fafe11f23567080fb14cfd3b51cb440b9c097804569402d720fd32dd66059830