Sâu Raspberry Robin đang trở thành một phần mềm độc hại truy cập dưới dạng dịch vụ để triển khai các tải trọng khác, bao gồm IcedID, Bumblebee, TrueBot (hay còn gọi là Silence) và Clop ransomware.
Nó là "một phần của hệ sinh thái phần mềm độc hại phức tạp và được kết nối với nhau, với các liên kết đến các họ phần mềm độc hại khác và các phương pháp lây nhiễm thay thế ngoài sự lây lan ổ USB ban đầu của nó", Trung tâm Tình báo Mối đe dọa Bảo mật của Microsoft (MSTIC) cho biết trong một bài viết chi tiết.
Raspberry Robin, còn được gọi là QNAP Worm do sử dụng các máy chủ lưu trữ QNAP bị xâm phạm để chỉ huy và kiểm soát, là tên được đặt cho một phần mềm độc hại bởi công ty an ninh mạng Red Canary lây lan sang các hệ thống Windows thông qua các ổ USB bị nhiễm.
MSTIC đang theo dõi nhóm hoạt động đằng sau các trường hợp nhiễm Raspberry Robin dựa trên USB là DEV-0856, nói thêm rằng họ nhận thức được ít nhất bốn điểm vào được xác nhận rằng tất cả đều có mục tiêu cuối cùng có khả năng là triển khai ransomware.
Nhóm an ninh mạng của gã khổng lồ công nghệ nói rằng Raspberry Robin đã phát triển từ một con sâu phân bố rộng rãi mà không có hành động sau lây nhiễm nào được quan sát thấy thành một trong những nền tảng phân phối phần mềm độc hại lớn nhất hiện đang hoạt động.
Theo dữ liệu đo từ xa được thu thập từ Microsoft Defender for Endpoint, khoảng 3.000 thiết bị trải dài gần 1.000 tổ chức đã gặp phải ít nhất một cảnh báo liên quan đến tải trọng Raspberry Robin trong 30 ngày qua.
Sự phát triển mới nhất bổ sung thêm bằng chứng ngày càng tăng về các hoạt động sau khai thác liên quan đến Raspberry Robin, vào tháng6 năm 2022, được phát hiện hoạt động như một đường dẫn để cung cấp phần mềm độc hại FakeUpdates (hay còn gọi là SocGholish).
Hoạt động FakeUpdates này cũng đã được theo sau bởi hành vi tiền ransomware được quy cho một cụm mối đe dọa được theo dõi bởi Microsoft như DEV-0243 (hay còn gọi là Evil Corp), tổ chức tội phạm mạng khét tiếng của Nga đằng sau trojan Dridex và một khuôn khổ chỉ huy và kiểm soát (C2) được gọi là TeslaGun.
Microsoft, vào tháng 10 năm 2022 , cho biết họ đã phát hiện Raspberry Robin được sử dụng trong hoạt động sau thỏa hiệp được cho là do một tác nhân đe dọa khác mà nó có tên mã là DEV-0950 và trùng lặp với các nhóm được giám sát công khai là FIN11 và TA505.
Trong khi các tên FIN11 và TA505 thường được sử dụng thay thế cho nhau, Mandiant thuộc sở hữu của Google (trước đây là FireEye) mô tả FIN11 là một tập hợp con của hoạt động thuộc nhóm TA505.
Cũng đáng để chỉ ra sự kết hợp của Evil Corp và TA505, mặc dù Proofpoint đánh giá "TA505 khác với Evil Corp", cho thấy rằng các cụm này chia sẻ một phần điểm chung chiến thuật với nhau.
"Từ một nhiễm trùng Raspberry Robin, hoạt động DEV-0950 đã dẫn đến sự thỏa hiệp thực hành trên bàn phím Cobalt Strike, đôi khi với nhiễm trùng TrueBot được quan sát thấy ở giữa giai đoạn Raspberry Robin và Cobalt Strike," nhà nghiên cứu cho biết. "Hoạt động này lên đến đỉnh điểm trong việc triển khai ransomware Clop."
Microsoft cũng đưa ra giả thuyết rằng các tác nhân đằng sau các chiến dịch phần mềm độc hại liên quan đến Raspberry Robin này đang trả tiền cho các nhà khai thác sâu để phân phối tải trọng, cho phép họ tránh xa lừa đảo như một vectơ để có được nạn nhân mới.
Hơn nữa, một tác nhân tội phạm mạng có tên DEV-0651 đã được liên kết với việc phân phối một tạo tác khác có tên là Fauppod thông qua việc lạm dụng các dịch vụ đám mây hợp pháp, thể hiện sự tương đồng về mã với Raspberry Robin và cũng loại bỏ phần mềm độc hại FakeUpdates.
Nhà sản xuất Windows tiếp tục lưu ý đến sự tự tin trung bình của wih rằng Fauppod đại diện cho liên kết sớm nhất được biết đến trong chuỗi nhiễm trùng Raspberry Robin để truyền bá liên kết sau này thông qua các tệp LNK đến ổ USB.
Để thêm vào câu đố tấn công, IBM Security X-Force, vào đầu tháng trước, đã xác định được sự tương đồng về chức năng giữa thành phần trình tải được sử dụng trong chuỗi lây nhiễm Raspberry Robin và phần mềm độc hại Dridex. Microsoft đang gán kết nối cấp mã này cho Fauppod áp dụng các phương pháp của Dredex để tránh thực thi trong các môi trường cụ thể.
"Chuỗi lây nhiễm của Raspberry Robin là một bản đồ khó hiểu và phức tạp về nhiều điểm lây nhiễm có thể dẫn đến nhiều kết quả khác nhau, ngay cả trong các tình huống mà hai vật chủ bị nhiễm đồng thời," Microsoft cho biết.