Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Raspberry Robin

Raspberry Robin

Raspberry Robin Worm Menyerang Lagi, Menargetkan Sistem Telekomunikasi dan Pemerintahan

by

Worm Raspberry Robin telah digunakan dalam serangan terhadap telekomunikasi dan sistem kantor pemerintah di seluruh Amerika Latin, Australia, dan Eropa setidaknya sejak September 2022.

Microsoft melacak Raspberry Robin terkait dengan kluster aktivitas sebagai DEV-0856 yang banyak dimanfaatkan oleh penyerang sebagai mekanisme akses awal untuk mengirimkan muatan seperti LockBit dan Clop ransomware.

Malware tersebut mengandalkan drive USB yang terinfeksi sebagai sarana untuk mengunduh file pemasang MSI jahat yang menyebarkan muatan utama, yang bertanggung jawab untuk memfasilitasi pasca-eksploitasi.

Analisis Raspberry Robbin lebih lanjut mengungkapkan bahwa penggunaan teknik obfuscation untuk mencegah analisis dengan malware terdiri dari dua muatan yang disemuatkan pada sebuah pemuat muatan yang dikemas enam kali.

Tanpa sandboxing dan analisis yang diamati, muatan yang sah akan dipasang dan terhubung ke alamat .onion yang dikodekan menggunakan klien TOR khusus yang disematkan di dalamnya untuk menunggu perintah lebih lanjut.

Klien TOR menyamar sebagai proses Windows yang sah seperti dllhost.exe, regsvr32.exe, dan rundll32.exe,. Hal ini sebagai upaya besar yang dilakukan oleh aktor ancaman untuk terbang di bawah radar.

Trend Micro menemukan persamaan dalam eskalasi hak istimewa dan teknik anti-debugging yang digunakan oleh ransomware Raspberry Robin dan LockBit, yang mengisyaratkan adanya hubungan potensial antara dua aktor kriminal tersebut.

Teori perusahaan mengatakan bahwa grup di belakang Raspberry Robin adalah pembuat beberapa alat yang juga digunakan Lockbit sebagai alternatif memanfaatkan layanan afiliasi yang bertanggung jawab atas teknik yang digunakan oleh LockBit.

Selengkapnya: The Hacker News

Worm Raspberry Robin Menjatuhkan Malware Palsu Untuk Membingungkan Peneliti

by

Malware Raspberry Robin sekarang mencoba melakukan beberapa tipu daya dengan menjatuhkan muatan palsu untuk membingungkan peneliti dan menghindari deteksi ketika proses deteksi sedang dijalankan di dalam sandbox dan alat debugging.

Raspberry Robin adalah dropper malware mirip cacing yang menjual akses awal ke jaringan yang disusupi ke geng ransomware dan operator malware.

Taktik malware palsu ini ditemukan oleh para peneliti Trend Micro yang mengamati Raspberry Robin dalam serangan baru-baru ini terhadap penyedia layanan telekomunikasi dan sistem pemerintahan.

Malware mencapai sistem yang ditargetkan melalui drive USB berbahaya yang menginfeksi perangkat dengan malware saat dimasukkan dan disertakan.

Rantai infeksi khas Raspberry Robin (Trend Micro)

Masalah Ganda
Malware ini disamarkan untuk menyembunyikan kodenya dari pemeriksaan keamanan, menampilkan banyak lapisan yang berisi nilai hard-coded untuk mendekripsi yang berikutnya.

Namun, untuk mempersulit peneliti keamanan untuk menganalisis malware, Raspberry Robin mulai menjatuhkan dua muatan yang berbeda tergantung pada bagaimana perangkat dijalankan.

Jika malware mendeteksi itu berjalan di dalam sandbox, menunjukkan kemungkinan sedang dianalisis, pemuat menjatuhkan muatan palsu. Jika tidak, itu akan meluncurkan malware Raspberry Robin yang sebenarnya.

Diagram lapisan packing (Trend Micro)

Muatan palsu ini menampilkan dua lapisan tambahan, kode shell dengan file PE tersemat dan file PE dengan header MZ dan tanda tangan PE dihapus. Setelah dijalankan, ia mencoba membaca registri Windows untuk menemukan penanda infeksi dan kemudian mulai mengumpulkan informasi sistem dasar.

Setelah siap, malware mencoba terhubung ke alamat Tor yang dikodekan dan membuat saluran pertukaran informasi dengan operatornya.

LockBit Ransomware Memiliki Kesamaan
Menurut analis Trend Micro, penambahan baru-baru ini dalam TTP Raspberry Robin (taktik, teknik, dan prosedur) memiliki kesamaan dengan LockBit.Dua kesamaan utama yaitu menggunakan teknik kalibrasi ICM untuk eskalasi hak istimewa dan alat ‘TreadHideFromDebugger’ untuk anti-debugging.

Meskipun temuan ini penting, namun bukan merupakan bukti hubungan antara keduanya. Temuan ini dapat berfungsi sebagai tolok ukur dalam penelitian di masa mendatang.

Kampanye Raspberry Robin saat ini lebih merupakan upaya pengintaian untuk mengevaluasi keefektifan mekanisme baru daripada langkah awal dalam serangan yang sebenarnya.

Selengkapnya: BLEEPINGCOMPUTER

Microsoft menautkan worm Raspberry Robin ke serangan ransomware Clop

by

Microsoft mengatakan kelompok ancaman yang dilacak sebagai DEV-0950 menggunakan ransomware Clop untuk mengenkripsi jaringan korban yang sebelumnya terinfeksi worm Raspberry Robin.

Aktivitas jahat DEV-0950 tumpang-tindih dengan kelompok kejahatan dunia maya bermotivasi finansial yang dilacak sebagai FIN11 dan TA505, yang dikenal karena menyebarkan ransomware Clop payloads pada sistem target.

Selain ransomware, Raspberry Robin juga telah digunakan untuk menjatuhkan muatan tahap kedua lainnya ke perangkat yang disusupi, termasuk IcedID, Bumblebee, dan Truebot.

“Mulai pada 19 September 2022, Microsoft mengidentifikasi infeksi cacing Raspberry Robin yang menyebarkan IcedID dan—kemudian pada korban lain—bumblebee dan muatan TrueBot,” kata analis Microsoft Security Threat Intelligence.

“Pada Oktober 2022, peneliti Microsoft mengamati infeksi Raspberry Robin diikuti oleh aktivitas Cobalt Strike dari DEV-0950. Aktivitas ini, yang dalam beberapa kasus termasuk infeksi Truebot, akhirnya menyebarkan ransomware Clop.”

Ini mengisyaratkan operator Raspberry Robin yang menjual akses awal ke sistem perusahaan yang disusupi ke geng ransomware dan afiliasi yang kini memiliki cara tambahan untuk masuk ke jaringan target mereka selain email phishing dan iklan berbahaya.

Pada akhir Juli, Microsoft juga mengatakan telah mendeteksi perilaku pra-ransomware Evil Corp di jaringan di mana broker akses dilacak sebagai DEV-0206 menjatuhkan backdoor FakeUpdates (alias SocGholish) pada perangkat yang terinfeksi Raspberry Robin.

Ekosistem kejahatan dunia maya Raspberry Robin (Microsoft)

Terlihat pada September 2021 oleh analis intelijen Red Canary, Raspberry Robin menyebar ke perangkat lain melalui perangkat USB yang terinfeksi yang berisi file .LNK berbahaya.

Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm akan menelurkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya kedua yang disimpan di drive yang terinfeksi.

Pada perangkat Windows yang disusupi, ia berkomunikasi dengan server perintah dan kontrolnya (C2). Itu juga mengirimkan dan mengeksekusi eksekusi tambahan setelah melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan beberapa utilitas Windows yang sah (fodhelper, msiexec, dan odbcconf).

Hari ini, perusahaan mengungkapkan bahwa worm telah menyebar ke sistem milik hampir 1.000 organisasi dalam sebulan terakhir.

Sumber: Bleeping Computer

Microsoft “Menghubungkan” Raspberry Robin USB Worm ke Peretas Evil Corp Rusia

by

Microsoft pada hari Jumat mengungkapkan hubungan potensial antara worm berbasis USB Raspberry Robin dan kelompok kejahatan dunia maya Rusia yang terkenal yang dilacak sebagai Evil Corp.

Raksasa teknologi itu mengatakan telah mengamati malware FakeUpdates (alias SocGholish) yang dikirimkan melalui infeksi Raspberry Robin yang ada pada 26 Juli 2022.

Raspberry Robin, juga disebut QNAP Worm, diketahui menyebar dari sistem yang disusupi melalui perangkat USB terinfeksi yang berisi file .LNK berbahaya ke perangkat lain di jaringan target.

DEV-0206 adalah nama lain Redmond untuk broker akses awal yang menyebarkan kerangka JavaScript berbahaya yang disebut FakeUpdates dengan menarik target untuk mengunduh pembaruan browser palsu dalam bentuk arsip ZIP.

Malware, pada intinya, bertindak sebagai saluran untuk kampanye lain yang menggunakan akses yang dibeli dari DEV-0206 ini untuk mendistribusikan muatan lain, terutama pemuat Cobalt Strike yang dikaitkan dengan DEV-0243, yang juga dikenal sebagai Evil Corp.

Disebut sebagai Gold Drake dan Indrik Spider, kelompok peretas yang bermotivasi finansial ini secara historis mengoperasikan malware Dridex dan sejak itu beralih untuk menyebarkan serangkaian keluarga ransomware selama bertahun-tahun, termasuk yang terbaru LockBit.

Penggunaan muatan RaaS oleh grup aktivitas ‘EvilCorp’ kemungkinan merupakan upaya DEV-0243 untuk menghindari atribusi ke grup mereka, yang dapat menghambat pembayaran karena status sanksi mereka,” kata Microsoft.

Tidak segera jelas hubungan pasti apa yang mungkin dimiliki Evil Corp, DEV-0206, dan DEV-0243 satu sama lain.

Katie Nickels, direktur intelijen di Red Canary, mengatakan dalam sebuah pernyataan yang dibagikan kepada The Hacker News bahwa temuan itu, jika terbukti benar, mengisi “kesenjangan besar” dengan modus operandi Raspberry Robin.

“Kami terus melihat aktivitas Raspberry Robin, tetapi kami belum dapat mengaitkannya dengan orang, perusahaan, entitas, atau negara tertentu,” kata Nickels.

“Pada akhirnya, terlalu dini untuk mengatakan jika Evil Corp bertanggung jawab atas, atau terkait dengan, Raspberry Robin. Ekosistem Ransomware-as-a-Service (RaaS) adalah ekosistem yang kompleks, di mana kelompok kriminal yang berbeda bermitra satu sama lain untuk mencapai berbagai tujuan. Akibatnya, sulit untuk menguraikan hubungan antara keluarga malware dan aktivitas yang diamati.”

SUmber: The Hacker News

Microsoft Menemukan Worm Raspberry Robin di Ratusan Jaringan Windows

by

Microsoft mengatakan bahwa worm Windows yang baru-baru ini ditemukan telah ditemukan di jaringan ratusan organisasi dari berbagai sektor industri.

Malware, yang dijuluki Raspberry Robin, menyebar melalui perangkat USB yang terinfeksi, dan pertama kali terlihat pada September 2021 oleh analis intelijen Red Canary.

Perusahaan keamanan siber Sekoia juga mengamatinya menggunakan perangkat QNAP NAS sebagai server perintah dan kontrol (C2) pada awal November, sementara Microsoft mengatakan menemukan artefak berbahaya yang terkait dengan worm ini yang dibuat pada 2019.

Temuan Redmond sejalan dengan temuan tim Rekayasa Deteksi Red Canary, yang juga mendeteksi worm ini di jaringan banyak pelanggan, beberapa di antaranya di sektor teknologi dan manufaktur.

Meskipun Microsoft mengamati malware yang terhubung ke alamat di jaringan Tor, pelaku ancaman belum mengeksploitasi akses yang mereka peroleh ke jaringan korban mereka.

Ini terlepas dari kenyataan bahwa mereka dapat dengan mudah meningkatkan serangan mereka karena malware dapat melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan alat Windows yang sah.

Alur Infeksi Worm
Raspberry Robin

Menyalahgunakan alat sah Windows untuk menginfeksi perangkat baru

Seperti yang telah disebutkan, Raspberry Robin menyebar ke sistem Windows baru melalui drive USB yang terinfeksi yang berisi file .LNK berbahaya.

Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm memunculkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya yang tersimpan di drive yang terinfeksi.

Itu menginfeksi perangkat Windows baru, berkomunikasi dengan server perintah dan kontrolnya (C2), dan mengeksekusi muatan berbahaya menggunakan beberapa utilitas Windows yang sah:

  • fodhelper (biner tepercaya untuk mengelola fitur di pengaturan Windows),
  • msiexec (command line Windows Installer component),
  • dan odbcconf (alat untuk mengkonfigurasi driver ODBC).

“Sementara msiexec.exe mengunduh dan menjalankan paket penginstal yang sah, musuh juga memanfaatkannya untuk mengirimkan malware,” jelas peneliti Red Canary.

“Raspberry Robin menggunakan msiexec.exe untuk mencoba komunikasi jaringan eksternal ke domain berbahaya untuk tujuan C2.”

Peneliti keamanan yang melihat Raspberry Robin di alam liar belum mengaitkan malware tersebut dengan kelompok ancaman dan masih bekerja untuk menemukan tujuan akhir operatornya. Namun, Microsoft telah menandai kampanye ini sebagai kampanye berisiko tinggi, mengingat penyerang dapat mengunduh dan menyebarkan malware tambahan di dalam jaringan korban dan meningkatkan hak istimewa mereka kapan saja.

Sumber: BleepingComputer