Компания Microsoft обнаружила недавнюю активность, указывающую на то, что червь Raspberry Robin является частью сложной и взаимосвязанной экосистемы вредоносных программ, имеющей связи с другими семействами вредоносных программ и альтернативные методы заражения, помимо первоначального распространения с USB-накопителя. Эти заражения приводят к последующим атакам с использованием клавиатуры и вымогательским программам, управляемым человеком
Постоянное отслеживание активности, связанной с Raspberry Robin, также свидетельствует об очень активной работе: Данные Microsoft Defender for Endpoint показывают, что за последние 30 дней около 3000 устройств в почти 1000 организациях видели как минимум одно предупреждение, связанное с полезной нагрузкой Raspberry Robin.
Raspberry Robin превратился из широко распространенного червя, за которым не наблюдалось никаких действий после заражения, когда Red Canary впервые сообщила о нем в мае 2022 года, в одну из крупнейших платформ распространения вредоносного ПО, действующих в настоящее время. В июле 2022 года исследователи безопасности Microsoft заметили, что на устройства, зараженные Raspberry Robin, устанавливается вредоносная программа FakeUpdates, что привело к активности DEV-0243. DEV-0243, группа активности, связанная с вымогательством, которая пересекается с действиями, отслеживаемыми другими поставщиками как EvilCorp, впервые была замечена за развертыванием полезной нагрузки LockBit ransomware as a service (RaaS) в ноябре 2021 года. С тех пор Raspberry Robin также начал развертывать IcedID, Bumblebee и Truebot, согласно расследованиям.
Учитывая взаимосвязанную природу киберпреступной экономики, возможно, что участники этих кампаний, связанных с Raspberry Robin, которые обычно распространяются с помощью других средств, таких как вредоносная реклама или электронная почта, платят операторам Raspberry Robin за установку вредоносного ПО.
Raspberry Robin Worm IOCs
- Raspberry Robin Worm IOCs - Part 1
- Raspberry Robin Worm IOCs - Part 2
- Raspberry Robin (Roshtyak) - Part 3
Indicators of Compromise
URLs
- https://cdn.discordapp.com/attachments/1004390520904220838/1008127492449648762/Setup_64_11.zip
- https://codeload.github.com/downloader2607/download64_12/zip/refs/heads/main
- https://dsfdsfgb.azureedge.net/332_332/universupdatepluginx84.zip
- https://spideroak.com/storage/OVPXG4DJMRSXE33BNNPWC5LUN5PTSMRTGAZTG/shared/5392194-1-1040/Setup_64_1.zip?b6755c86e52ceecf8d806bf814690691
SHA256
- 09247f88d47b69e8d50f0fe4c10c7f0ecc95c979a38c2f7dfee4aec3679b5807
- 0b214297e87360b3b7f6d687bdd7802992bc0e89b170d53bf403e536e07e396e
- 0c435aadaa3c42a71ad8ff80781def4c8ce085f960d75f15b6fee8df78b2ac38
- 1789ba9965adc0c51752e81016aec5749377ec86ec9a30449b52b1a5857424bf
- 5c15151a29fab8a2d58fa55aa6c88a58a456b0a6bc959b843e9ceb2295c61885
- 7e39dcd15307e7de862b9b42bf556f2836bf7916faab0604a052c82c19e306ca
- d1224c08da923517d65c164932ef8d931633e5376f74bf0655b72d559cc32fd2
- f0115a8c173d30369acc86cb8c68d870c8cf8a2b0b74d72f9dbba30d80f05614
- f18a54ba72df1a17daf21b519ffeee8463cfc81c194a8759a698709f1c9a3e87