Alcuni recenti attacchi, documentati negli ultimi mesi, sembrerebbero essere orchestrati da gruppi di hacker utilizzando un framework chiamato Raspberry Robin. Questo framework, automatizzato e ben progettato, consente agli aggressori la capacità' di eludere il loro rilevamento nella post-infezione, e di spostarsi lateralmente sfruttando le infrastrutture dei cloud affidabili di noti provider di hosting come Discord, Azure e Github, tra gli altri.
I punti salienti del articolo:
(1) Raspberry Robin si rivolge al settore finanziario in Europa.
(2) La vittimologia si concentra sulle organizzazioni di lingua spagnola e portoghese.
(3) Gli attaccanti hanno iniziato a raccogliere più dati dalle macchina delle vittime.
(4) Il meccanismo del downloader è stato aggiornato con nuove funzionalità anti-analisi.
(5) Lo stesso server QNAP viene utilizzato per diversi round di attacchi, ma i dati delle vittime non sono più in testo semplice. È crittografato RC4.
Per approfondimento dell articolo:
Comments