Raspberry Robin – IoT OT Security News

IcedID マルウェアの蔓延：侵入から24時間以内に Active Directory ドメインを侵害

IcedID Malware Strikes Again: Active Directory Domain Compromised in Under 24 Hours

2023/01/12 TheHackerNews — 先日に発生した IcedID マルウェア攻撃では、イニシャル・アクセスから 24時間以内に、無名ターゲットの Active Directory ドメインが侵害されていたという。今週に発表されたレポートで Cybereason の研究者たちは、「この脅威アクターは攻撃の最中に、偵察コマンド操作／認証情報窃取／横方向への移動に加えて、侵入したホスト上での Cobalt Strike の実行という手順を踏んでいた」と述べている。IcedID (別名 BokBot) は、2017年にバンキング・トロイの木馬としてスタートした後に、他のマルウェアを支援するドロッパーへと進化し、Emotet／TrickBot／Qakbot／Bumblebee／Raspberry Robin などの仲間に加わった。

Check Point のマルウエア・レポート：AgentTesla／Emotet／Qbot が 11月の Top-3

AgentTesla Remains Most Prolific Malware in November, Emotet and Qbot Grow

2022/12/14 InfoSecurity — 静かな夏を経て、最も流行しているマルウェアの１つとして、Emotet が戻ってきた。さらに、トロイの木馬 Qbot が 2021年以来のリスト入りを果たし、Raspberry Robin ワームも目立っている。しかし、昨日に発表された Check Point Research (CPR) の November 2022’s Most Wanted Malware レポートによると、11月に最も活発だったマルウエアとして、AgentTesla の存在が強調されている。Check Point は、全世界の 6% の組織に AgentTesla は影響を及ぼし、その後に Emotet と Qbot が 4% で続いていると述べている。

LockBit のハッキング主張：自動車部品グループ Continental のデータを窃取

LockBit Claims Ransomware Attack on Continental

2022/11/04 InfoSecurity — ハッキング・グループ LockBit は、この８月に多国籍自動車グループ Continental にサイバー攻撃を仕掛けたと主張している。11月2日に LockBit は、リークサイトにおいて発表を行い、11月4日までの間に身代金が支払われなければ、Continental のデータを公開すると脅している。ダークウェブのブログ記事によると、Continental のネットワークから盗み出したデータの内容や、侵入の記事については、詳細を明らかにしていないとのことだ。

Access-as-a-Service へと進化した Raspberry Robin：Clop ランサムウェアの展開を推進か？

Raspberry Robin Operators Selling Cybercriminals Access to Thousands of Endpoints

2022/10/28 TheHackerNews — Raspberry Robin ワームは Access-as-a-Service へと進化し、IcedID／Bumblebee／TrueBot (Silence)／Clop などの、他のペイロード展開に採用されつつある。Microsoft Security Threat Intelligence Center (MSTIC) は、「このマルウェアは、複雑で相互接続されたマルウェア・エコシステムの一部であり、従来からの USB ドライブ拡散を超えた、多様な感染方式を実現している」と詳述している。Raspberry Robin は、USB ドライブを介して Windows システムに拡散するマルウェアであり、感染させた QNAP ストレージ・サーバを Command and Control に使用することから、サイバー・セキュリティ企業 Red Canary は QNAP Worm とも呼んでいる。