微軟將Raspberry Robin USB蠕蟲病毒與俄羅斯邪惡公司黑客聯系起來

周五，微軟披露了這種基于Raspberry Robin USB的蠕蟲病毒與一個臭名昭著的俄羅斯網絡犯罪集團Evil Corp.之間的潛在聯系。

這家科技巨頭表示，2022年7月26日，它觀察到通過現有的樹莓羅賓感染傳播的FakeUpdates（又名Sockholish）惡意軟件。

Raspberry Robin，也稱為QNAP蠕蟲，已知會通過包含惡意.LNK文件的受感染USB設備從受損系統傳播到目標網絡中的其他設備。

紅金絲雀于2021 9月首次發現了這場運動，但由于沒有任何后期活動的記錄，也沒有將其與已知威脅行為者或團體聯系起來的任何具體聯系，這場運動一直難以捉摸。

因此，本次披露標志著威脅行為人在利用惡意軟件獲得對Windows機器的初始訪問權限時采取的攻擊后行動的第一個證據。

“自那以后，受影響系統上與DEV-0206相關的FakeUpdates活動導致了類似于DEV-0243勒索前行為的后續行動，”微軟指出。

DEV-0206是Redmond的名字，它是一個初始訪問代理，通過誘使目標下載ZIP存檔形式的虛假瀏覽器更新，部署了一個名為FakeUpdates的惡意JavaScript框架。

該惡意軟件的核心是充當其他活動的渠道，這些活動利用從DEV-0206購買的此訪問來分發其他有效載荷，主要是屬于DEV-0243的鈷打擊加載程序，也被稱為邪惡公司。

被稱為Gold Drake和Indrik Spider的這家出于財務動機的黑客集團過去一直運營著Dridex惡意軟件，多年來，該集團轉而部署了一系列勒索軟件家族，其中包括最近的LockBit。

“EvilCorp”活動組使用RaaS有效載荷可能是DEV-0243試圖避免歸因于他們的組，這可能會因為他們的受制裁狀態而阻礙付款，”微軟說。

目前尚不清楚Evil Corp、DEV-0206和DEV-0243之間可能存在哪些確切聯系。

紅金絲雀的情報總監凱蒂·尼克斯在與《黑客新聞》分享的一份聲明中說，如果調查結果被證明是正確的，那么就用覆盆子·羅賓的作案手法填補了“重大空白”。

尼克爾斯說：“我們繼續看到樹莓知更鳥的活動，但我們無法將其與任何特定的個人、公司、實體或國家聯系起來”。

“歸根結底，現在說Evil Corp是否對Raspberry Robin負責或與其有關聯還為時過早。勒索軟件即服務（RaaS）生態系統是一個復雜的生態系統，不同的犯罪集團相互合作以實現各種目標。因此，很難理清惡意軟件家族和觀察到的活動之間的關系”。