Red robin

マイクロソフトは、DEV-0950 として追跡されている脅威グループが Clop ランサムウェアを使用して、以前に Raspberry Robin ワームに感染した被害者のネットワークを暗号化したと述べています。

DEV-0950 の悪意のある活動は、FIN11 および TA505 として追跡されている金銭目的のサイバー犯罪グループと重複しており、標的のシステムに Clop ペイロード ランサムウェアを展開することで知られています。

ランサムウェアに加えて、Raspberry Robin は、IcedID、Bumblebee、Truebot など、侵害されたデバイスに他の第 2 段階のペイロードをドロップするためにも使用されています。

「2022 年 9 月 19 日以降、Microsoft は、IcedID を展開する Raspberry Robin ワームの感染を特定し、その後、他の被害者に Bumblebee と TrueBot のペイロードを追加しました」と、Microsoft Security Threat Intelligence のアナリストは述べています。

「2022 年 10 月、Microsoft の研究者は、Raspberry Robin の感染に続いて、DEV-0950 からの Cobalt Strike の活動を観察しました。この活動には、場合によっては Truebot の感染が含まれ、最終的に Clop ランサムウェアが展開されました。」

これは、Raspberry Robin のオペレーターが、侵害されたエンタープライズ システムへの最初のアクセスをランサムウェア ギャングや関連会社に販売していることを示唆しています。ランサムウェア ギャングやアフィリエイトは、フィッシング メールや悪意のある広告以外に、標的のネットワークに侵入するための追加の方法を手に入れました。

7 月下旬、Microsoft は、ネットワーク上でEvil Corp のプレランサムウェアの動作を検出したことも明らかにしました。このネットワークでは、DEV-0206 として追跡されたアクセス ブローカーが、Raspberry Robin に感染したデバイスに FakeUpdates (別名、SocGholish) バックドアをドロップしました。

Raspberry Robin のサイバー犯罪エコシステム
Raspberry Robin サイバー犯罪者エコシステム (Microsoft)

30 日以内に約 1,000 の組織が侵害された

Red Canary のインテリジェンス アナリストが2021 年 9 月に発見したRaspberry Robin は、悪意のある .LNK ファイルを含む感染した USB デバイスを介して他のデバイスに拡散します。

USB デバイスが接続され、ユーザーがリンクをクリックすると、ワームは cmd.exe を使用して msiexec プロセスを生成し、感染したドライブに保存されている 2 番目の悪意のあるファイルを起動します。

侵害された Windows デバイスでは、コマンド アンド コントロール サーバー (C2) と通信します。また、いくつかの正当な Windows ユーティリティ (fodhelper、msiexec、および odbcconf) を使用して、感染したシステムでユーザー アカウント制御 (UAC) をバイパスした後、追加のペイロードを配信および実行します。

マイクロソフトは 7 月初旬、さまざまな業界の数百の組織のネットワークで Raspberry Robin マルウェアの感染を検出したと発表しました。

本日、同社は、ワームが過去 1 か月以内に約 1,000 の組織に属するシステムに拡散したことを明らかにしました。

Microsoft Defender for Endpoint のデータは、約 1,000 の組織の約 3,000 のデバイスが、過去 30 日間に少なくとも 1 つの Raspberry Robin ペイロード関連のアラートを確認したことを示しています。