Raspberry Robin adalah aktor ancaman yang layak diawasi, menurut penelitian baru yang menunjukkan broker akses awal (IAB) dengan cepat membuang akar pejalan kaki dan berevolusi menjadi bahaya yang kuat, memfasilitasi serangan siber yang diluncurkan dari tingkat tertinggi pemerintah Rusia.
Sebuah laporan baru dari Silent Push memberikan semua seluk -beluk teknis di belakang infrastruktur Raspberry Robin, melompat dari peringatan September 2024 dari Cybersecurity and Infrastructure Security Badan Keamanan (CISA) yang memperingatkan bahwa dengan bantuan IAB, Staf Umum Rusia Direktorat Intelijen Utama (GRU) Unit 29155 sedang melakukan sabotase berkelanjutan, spionase, dan kampanye disinformasi terhadap target global yang berasal dari tahun 2020, termasuk penggunaan Malware Whispergate melawan organisasi Ukraina Kembali ke 2022.
Raspberry Robin bekerja untuk berbagai aktor ancaman Rusia, termasuk Lockbit, SocgholishDan Dridexmenurut laporan itu. Itu adalah promosi besar dari iterasi aslinya sebagai kelompok yang mengirimkan cacing kepada para korban menggunakan drive USB yang terinfeksi.
“Dari 2019 hingga 2023, perangkat terinfeksi Raspberry Robin melalui serangan 'Bad USB', paling sering dengan toko cetak dan salinan,” kata laporan itu. “Drive USB yang terinfeksi berisi file shortcut windows (LNK) yang disamarkan sebagai folder, dan muatan berbahaya diaktifkan ketika pengguna mengklik file yang mencurigakan.”
Maju cepat ke hari ini, dan grup telah lulus untuk menargetkan target perusahaan dan pemerintah yang sensitif.
“Kelompok aktor ancaman menggunakan taktik yang sangat canggih, termasuk memanfaatkan kotak QNAP NAS yang dikompromikan, router, dan perangkat IoT dan mengaburkan malware melalui pengemasan multilayer (kadang -kadang menggunakan sebanyak 14 lapisan yang berbeda),” kata laporan itu. “Mereka menjual akses ke kelompok lain, membuatnya sulit untuk mengidentifikasi keterlibatan mereka dalam pelanggaran awal.”
Target rutin Raspberry Robin berkembang
Pada tahun 2022, Raspberry Robin terutama berfokus pada melanggar organisasi manufaktur dan teknologi tetapi sejak itu mendiversifikasi kegiatannya untuk menargetkan lembaga pemerintah dari Amerika Latin, Australia, dan Eropa, menurut penelitian tersebut. Pada tahun 2024, kelompok ini sedang bekerja untuk mengompromikan operasi minyak dan gas, transportasi, ritel, pendidikan, dan banyak lagi. Tampaknya tidak ada area spesifik yang ditargetkan, menurut Silent Push, mencatat bahwa CISA Advisory tahun lalu tidak menunjukkan apakah Unit Militer Rusia 29155 secara aktif mengarahkan kegiatan kompromi Raspberry Robin.
Karena model bisnis Raspberry Robin, serangan cyber -nya dapat berbaur dengan rantai serangan keseluruhan dan salah diidentifikasi. “Ketika Raspberry Robin berhasil dalam serangan, itu dapat memperkenalkan muatan klien lanjutan hanya beberapa detik setelah infeksi pertama terjadi,” laporan itu menjelaskan. “Ini berarti kompromi dari 'Socgholish' atau aktor ancaman lain yang diketahui kadang-kadang bisa benar-benar menjadi muatan lanjutan. Dan kecuali log ditinjau dan orang tahu apa yang harus dicari, rantai serangan dapat dengan mudah disalahpahami.”
Masih banyak lagi yang perlu diketahui tentang aktor ancaman cyber Rusia yang berpengaruh ini. Tetapi kenaikan kelompok yang relatif cepat adalah tanda bahwa bisnis IAB sedang booming dan hanya menjadi lebih baik. Ambil contoh, temuan bahwa raspberry robin dapat mengumpulkan dan menggunakan apa yang disebut kerentanan n-hari-bug yang mungkin atau mungkin tidak memiliki perbaikan yang tersedia.
“Analis Silent Push percaya praktik menggunakan payload 1 hari atau n-hari menyoroti koneksi Raspberry Robin dengan ekonomi bawah tanah,” kata laporan itu. “Ini dapat menunjukkan bahwa mereka memiliki sumber daya pengembangan yang signifikan dan mampu mengkode ini secara internal, tetapi skenario yang lebih mungkin adalah bahwa karena aktor ancaman ini menyediakan layanan broker akses awal, mereka memiliki banyak hubungan tepercaya dengan berbagai aktor ancaman yang selaras Rusia dan aktor ancaman kejahatan dunia maya lainnya, dan dapat memperoleh eksploit dari entitas tersebut.”
Untuk saat ini, analisis infrastruktur Raspberry Robin menunjukkan sebagian besar tidak berubah sejak tahun lalu. Laporan tersebut menguraikan beberapa pertanyaan luar biasa, para peneliti Silent Push bermaksud untuk menyelidiki lebih lanjut tentang kegiatan grup, termasuk bagaimana pembayaran terstruktur dan jaringan koneksi di antara kejahatan dunia maya. Ada juga pertanyaan tentang bagaimana mendekati remediasi. Paling kritis, laporan itu mengatakan para analis yang melacak Raspberry Robin akan terus bertanya, “Bagaimana para pembela dapat berkolaborasi secara lebih efektif untuk mendukung penegakan hukum dan tindakan untuk menghentikan ancaman ini?”
_Vladimir_Stanisic_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "Risiko menggunakan model AI yang dikembangkan oleh negara -negara yang bersaing")
![[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda](https://i0.wp.com/www.darkreading.com/assets/darkreading-C928X8LZ.ico?w=300&resize=300,300&ssl=1 "[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda")