{"id":6506,"date":"2024-04-28T09:58:35","date_gmt":"2024-04-28T07:58:35","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6506"},"modified":"2024-04-28T09:58:35","modified_gmt":"2024-04-28T07:58:35","slug":"raspberry-robin-nova-kampanja","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2024\/04\/28\/raspberry-robin-nova-kampanja\/","title":{"rendered":"Raspberry Robin: Nova kampanja"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>Raspberry Robin <\/em>je <em>Windows<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> koji je prvi put identifikovan krajem 2021. godine, evoluirao je u zna\u010dajnu prijetnju za korisnike i poslovne organizacije. Prvobitno poznat po <a href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/17\/raspberry-robin-opasnost-unutar-usb-medija\/\" target=\"_blank\" rel=\"noopener\">\u0161irenju putem prenosivih medija kao \u0161to su USB diskovi<\/a>, sada koristi razli\u010dite vektore infekcije za ciljanje tehnolo\u0161kih i proizvodnih sektora, dok njegove te\u0161ke tehnike zamagljivanja \u010dine otkrivanje izazovnim.<\/span><\/p>\n<div id=\"attachment_6507\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6507\" class=\"size-full wp-image-6507\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/Raspberry-Robin-malware.jpg\" alt=\"Raspberry Robin\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/Raspberry-Robin-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/Raspberry-Robin-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/Raspberry-Robin-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/Raspberry-Robin-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/Raspberry-Robin-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/Raspberry-Robin-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/04\/Raspberry-Robin-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6507\" class=\"wp-caption-text\">Raspberry Robin: Nova kampanja; Source: Bing Image Creator<\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2024\/04\/28\/raspberry-robin-nova-kampanja\/#RASPBERRY_ROBIN\" >RASPBERRY ROBIN<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2024\/04\/28\/raspberry-robin-nova-kampanja\/#Nova_kampanja\" >Nova kampanja<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2024\/04\/28\/raspberry-robin-nova-kampanja\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2024\/04\/28\/raspberry-robin-nova-kampanja\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"RASPBERRY_ROBIN\"><\/span><strong><span style=\"font-size: 14pt;\">RASPBERRY ROBIN<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Raspberry Robin<\/em> je vrsta zlonamjernog softvera poznata po svojim tehnikama zamagljivanja k\u00f4da i antianalize za izbjegavanje otkrivanja, zavaravanje izolovanih okru\u017eenja (eng. <em>sandboxes<\/em>) i usporavanje <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">bezbjednosnih timova<\/a> koji \u017eele da razumiju zlonamjerni softver. Nakon infekcije ure\u0111aja, on komunicira sa svojim komandnim i kontrolnim (<em>C2<\/em>) serverima preko <em>Tor<\/em> mre\u017ee.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Raspberry Robin<\/em> djeluje kao upori\u0161te za <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerne aktere<\/a> da isporu\u010de druge zlonamjerne datoteke preuzimanjem i izvr\u0161avanjem dodatnih <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnih tovara<\/a> (eng. <em>payloads<\/em>). \u010cesto se koristi za ubacivanje drugih vrsta zlonamjernog softvera kao \u0161to su <em>SocGholish<\/em>, <em>Cobalt<\/em> <em>Strike<\/em>, <em>IcedID<\/em>, <em>BumbleBee <\/em>i <em>Truebot<\/em> na inficirane ure\u0111aje. Ovi zlonamjerni softveri mogu da ukradu <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinke<\/a> i osjetljive finansijske podatke ili zaraze ra\u010dunare <em>ransomware<\/em> zlonamjernim softverom. Skripte koje koristi <em>Raspberry Robin <\/em>su veoma zamagljene i koriste niz tehnika protiv analize da bi izbjegle otkrivanje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Istorijski gledano, poznato je da se <em>Raspberry Robin<\/em> \u0161iri putem prenosivih medija kao \u0161to su <em>USB<\/em> diskovi, ali njegovi distributeri tako\u0111e eksperimenti\u0161u i sa drugim po\u010detnim tipovima datoteka za infekciju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Nova_kampanja\"><\/span><strong><span style=\"font-size: 14pt;\">Nova kampanja<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni akteri sada <a href=\"https:\/\/threatresearch.ext.hp.com\/raspberry-robin-now-spreading-through-windows-script-files\/\" target=\"_blank\" rel=\"noopener\">koriste <em>Windows Script Files<\/em> (<em>WSF<\/em>) kao novi metod za distribuciju<\/a> zlonamjernog softvera <em>Raspberry Robin<\/em>. <em>WSF<\/em> obi\u010dno koriste <em>IT<\/em> administratori i legitimni softveri za automatizaciju zadataka u okviru <em>Windows<\/em> operativnog sistema, ali ih tako\u0111e mogu zloupotrebiti zlonamjerni akteri. U ovoj najnovijoj kampanji, zlonamjerni akteri su dijelili zlonamjerne <em>WSF <\/em>datoteke preko razli\u010ditih domena i poddomena pod njihovom kontrolom. Datoteka skripte djeluje kao program za preuzimanje i koristi tehnike antianalize i otkrivanja virtuelnih ma\u0161ina kako bi izbjegla otkrivanje. Nejasno je kako se korisnici namamljuju na zlonamjerne <em>URL<\/em> adrese, ali to mo\u017ee biti putem ne\u017eeljene po\u0161te ili kampanja zlonamjernog ogla\u0161avanja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>WSF<\/em> program za preuzimanje je dio zlonamjernog softvera dizajniran da zaobi\u0111e odre\u0111ene bezbjednosne mjere, posebno one koje se odnose na broj verzije operativnog sistema <em>Windows<\/em> i odre\u0111ene antivirusne procese. On konfiguri\u0161e pravila isklju\u010divanja <em>Microsoft Defender Antivirus<\/em> softvera da bi se izbjeglo otkrivanje tokom skeniranja. Sam program za preuzimanje je u velikoj mjeri zamagljen i koristi razli\u010dite tehnike antianalize da bi izbjegao otkrivanje i usporio analizu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni akteri koji stoje iza <em>Raspberry Robin<\/em> zlonamjernog softvera su poznati po tome \u0161to koriste ranjivosti prvog dana za pove\u0107anje privilegija i pobolj\u0161avaju izbjegavanje anti-emulacije ili izolovanog okru\u017eenja kori\u0161tenjem <em>VDLL<\/em> provjera. Jednom u sistemu, <em>WSF<\/em> program za preuzimanje mo\u017ee da preuzme i izvr\u0161i dodatne korisne sadr\u017eaje, djeluju\u0107i kao posrednik za inicijalni pristup (eng. <em>Initial Access Broker &#8211; IAB<\/em>) ili ubaciva\u010d za druge porodice zlonamjernog softvera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong><span style=\"font-size: 14pt;\">ZAKLJU\u010cAK<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Raspberry Robin<\/em> je sofisticirani u\u010ditava\u010d zlonamjernog softvera koji koriste zlonamjerni akteri za razne zlonamjerne svrhe kao \u0161to je isporuka <em>ransomware<\/em> zlonamjernog softvera i drugih zlonamjernih korisnih tovara. Komponenta <em>WSF<\/em> program za preuzimanje ove porodice zlonamjernog softvera je u velikoj mjeri zamagljena i koristi napredne tehnike da izbjegne otkrivanje, \u0161to je \u010dini izazovnim za bezbjednosne timove koji poku\u0161avaj da se suprotstave njegovom \u0161irenju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Raspberry Robin<\/em> je primije\u0107en da koristi razli\u010dite vektore infekcije kao \u0161to su <em>USB<\/em> diskovi i internet preuzimanja, a poznato je da iskori\u0161\u0107ava ranjivosti prvog dana za eskalaciju privilegija. Zlonamjerni softver tako\u0111e mo\u017ee da zaobi\u0111e odre\u0111ene antivirusne procese i izbjegne izolovana okru\u017eenja kori\u0161tenjem <em>VDLL<\/em> provjera. S obzirom na njegovu sposobnost da djeluje kao posrednik za po\u010detni pristup (<em>IAB<\/em>) ili ubaciva\u010d za druge porodice zlonamjernog softvera, <em>Raspberry Robin<\/em> predstavlja zna\u010dajnu prijetnju za organizacije i trebalo bi da se smatra visokim prioritetom za bezbjednosne timove.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako bi za\u0161titili svoje sisteme od zlonamjernog softvera <em>Raspberry Robin<\/em>, korisnici i poslovne organizacije moraju primijeniti vi\u0161eslojni pristup koji se bavi razli\u010ditim vektorima infekcije i tehnikama koje koriste zlonamjerni akteri. Evo nekoliko preporu\u010denih koraka:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Odr\u017eavati softver a\u017eurnim na na\u010din da su svi operativni sistemi, aplikacije i bezbjednosna rje\u0161enja a\u017eurirani najnovijim ispravkama i izdanjima. Ovo poma\u017ee u za\u0161titi od poznatih ranjivosti koje <em>Raspberry Robin<\/em> ili sli\u010dan zlonamjerni softver mo\u017ee da iskoristi,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti renomirani <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusni softver<\/a> za otkrivanje i uklanjanje svih potencijalnih prijetnji, uklju\u010duju\u0107i <em>WSF<\/em> datoteke i druge po\u010detne vektore infekcije koje koristi <em>Raspberry Robin<\/em>. Redovno a\u017eurirati definicije kako bi se osigurala maksimalna za\u0161tita od novih prijetnji,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sprovesti sna\u017enu politiku kontrole pristupa uz ograni\u010davanje privilegija korisnika i primjenu stroge kontrole pristupa za osjetljive podatke i sisteme. Ovo mo\u017ee pomo\u0107i u spre\u010davanju neovla\u0161tenih korisnika da preuzimaju ili izvr\u0161avaju zlonamjerne datoteke, kao \u0161to su <em>WSF<\/em> datoteke,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Uraditi edukaciju zaposlenih o <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> napadima<\/a>, jer zlonamjerni akteri \u010desto koriste ne\u017eeljenu elektronsku po\u0161tu i la\u017eno ogla\u0161avanje da distribuiraju <em>Raspberry Robin<\/em> i druge prijetnje. Obu\u010diti zaposlene kako da identifikuju i prijave sumnjive elektronske poruke, veze i priloge,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti rje\u0161enje za filtriranje internet saobra\u0107aja koje blokira pristup poznatim zlonamjernim domenima i poddomenima koji skladi\u0161te <em>WSF<\/em> datoteke koje se koriste u ovoj kampanji. Ovo mo\u017ee da sprije\u010di korisnike da nenamjerno preuzimaju zara\u017eene datoteke,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Podesiti bezbjednosna rje\u0161enja da blokiraju ili ograni\u010davaju izvr\u0161avanje datoteka <em>Windows<\/em> skripti (<em>WSF<\/em>) osim ako nisu pouzdani izvori. Ovo mo\u017ee da sprije\u010di da <em>Raspberry Robin<\/em> i druge prijetnje zasnovane na <em>WSF<\/em> datotekama zaraze sisteme,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Vr\u0161iti nadgledanja mre\u017enog saobra\u0107aja implementacijom rje\u0161enja za pra\u0107enje mre\u017enog saobra\u0107aja koje otkriva i upozorava na bilo koju neuobi\u010dajenu aktivnost, kao \u0161to je veliki obim odlaznog saobra\u0107aja ka poznatim zlonamjernim domenima ili poddomenima. Ovo mo\u017ee pomo\u0107i da se rano identifikuju potencijalne infekcije i preduzmu odgovaraju\u0107e mjere,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Po\u0161to <em>Raspberry Robin<\/em> vr\u0161i komunikaciju sa svojim serverima za komandu i kontrolu preko <em>Tor<\/em> mre\u017ee, razmisliti o kori\u0161\u0107enju alatke za <em>Tor<\/em> blokiranje kako bi se sprije\u010dili da sistemi pristupe ovoj usluzi anonimnosti. Ovo mo\u017ee pomo\u0107i u smanjenju rizika od <em>Raspberry Robin <\/em>infekcije i drugim zlonamjernim softverom koji koriste sli\u010dne metode komunikacije,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti rje\u0161enja za bezbjednost krajnjih ta\u010daka kao \u0161to su softver za detekciju i odgovor na prijetnje (eng. <em>Endpoint detection and response \u2013 EDR<\/em>) ili sistemi za spre\u010davanje upada na osnovu hosta (eng. <em>Host-based Intrusion Prevention Systems \u2013 HIPS<\/em>) za nadgledanje krajnjih ta\u010dka u potrazi za sumnjivim aktivnostima, kao \u0161to su poku\u0161aji preuzimanja ili izvr\u0161avanja <em>WSF<\/em> datoteka ili drugih po\u010detnih vektora infekcije koje koristi <em>Raspberry Robin<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno praviti <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervne kopije podataka<\/a> uz kori\u0161tenje sna\u017ene i pouzdane strategije pravljenja rezervnih kopija za za\u0161titu od <em>ransomware <\/em>napada, koji se \u010desto isporu\u010duju preko <em>Raspberry Robin<\/em> zlonamjernog softvera i sli\u010dnih porodica zlonamjernog softvera. Ovo mo\u017ee pomo\u0107i da se minimizira uticaj bilo kog uspje\u0161nog napada na operacije i integritet podataka organizacije.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>Raspberry Robin je Windows zlonamjerni softver koji je prvi put identifikovan krajem 2021. godine, evoluirao je u zna\u010dajnu prijetnju za korisnike i poslovne organizacije. Prvobitno poznat po \u0161irenju putem prenosivih medija kao \u0161to su&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6507,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1102,1098,1095,1103,1099,1101,167,1100,1094,1028,1097,1096],"class_list":["post-6506","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-anti-detection-techniques","tag-cyberthreat","tag-downloader-trojan","tag-malicious-payloads","tag-malware-family","tag-obfuscated-downloaders","tag-privilege-escalation","tag-ransomware-precursor","tag-raspberry-robin-malware","tag-threat-intelligence","tag-tor-communication","tag-windows-vulnerabilities"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6506","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6506"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6506\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6507"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6506"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6506"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6506"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}