Raspberry Robin Worm IOCs - Part 4

security IOC

Компания Microsoft обнаружила недавнюю активность, указывающую на то, что червь Raspberry Robin является частью сложной и взаимосвязанной экосистемы вредоносных программ, имеющей связи с другими семействами вредоносных программ и альтернативные методы заражения, помимо первоначального распространения с USB-накопителя. Эти заражения приводят к последующим атакам с использованием клавиатуры и вымогательским программам, управляемым человеком

Постоянное отслеживание активности, связанной с Raspberry Robin, также свидетельствует об очень активной работе: Данные Microsoft Defender for Endpoint показывают, что за последние 30 дней около 3000 устройств в почти 1000 организациях видели как минимум одно предупреждение, связанное с полезной нагрузкой Raspberry Robin.

Raspberry Robin превратился из широко распространенного червя, за которым не наблюдалось никаких действий после заражения, когда Red Canary впервые сообщила о нем в мае 2022 года, в одну из крупнейших платформ распространения вредоносного ПО, действующих в настоящее время. В июле 2022 года исследователи безопасности Microsoft заметили, что на устройства, зараженные Raspberry Robin, устанавливается вредоносная программа FakeUpdates, что привело к активности DEV-0243. DEV-0243, группа активности, связанная с вымогательством, которая пересекается с действиями, отслеживаемыми другими поставщиками как EvilCorp, впервые была замечена за развертыванием полезной нагрузки LockBit ransomware as a service (RaaS) в ноябре 2021 года. С тех пор Raspberry Robin также начал развертывать IcedID, Bumblebee и Truebot, согласно расследованиям.

Учитывая взаимосвязанную природу киберпреступной экономики, возможно, что участники этих кампаний, связанных с Raspberry Robin, которые обычно распространяются с помощью других средств, таких как вредоносная реклама или электронная почта, платят операторам Raspberry Robin за установку вредоносного ПО.

Raspberry Robin Worm IOCs

Indicators of Compromise

URLs

  • https://cdn.discordapp.com/attachments/1004390520904220838/1008127492449648762/Setup_64_11.zip
  • https://codeload.github.com/downloader2607/download64_12/zip/refs/heads/main
  • https://dsfdsfgb.azureedge.net/332_332/universupdatepluginx84.zip
  • https://spideroak.com/storage/OVPXG4DJMRSXE33BNNPWC5LUN5PTSMRTGAZTG/shared/5392194-1-1040/Setup_64_1.zip?b6755c86e52ceecf8d806bf814690691

SHA256

  • 09247f88d47b69e8d50f0fe4c10c7f0ecc95c979a38c2f7dfee4aec3679b5807
  • 0b214297e87360b3b7f6d687bdd7802992bc0e89b170d53bf403e536e07e396e
  • 0c435aadaa3c42a71ad8ff80781def4c8ce085f960d75f15b6fee8df78b2ac38
  • 1789ba9965adc0c51752e81016aec5749377ec86ec9a30449b52b1a5857424bf
  • 5c15151a29fab8a2d58fa55aa6c88a58a456b0a6bc959b843e9ceb2295c61885
  • 7e39dcd15307e7de862b9b42bf556f2836bf7916faab0604a052c82c19e306ca
  • d1224c08da923517d65c164932ef8d931633e5376f74bf0655b72d559cc32fd2
  • f0115a8c173d30369acc86cb8c68d870c8cf8a2b0b74d72f9dbba30d80f05614
  • f18a54ba72df1a17daf21b519ffeee8463cfc81c194a8759a698709f1c9a3e87
SEC-1275-1
Добавить комментарий