微軟將 Raspberry Robin USB 蠕蟲與俄羅斯邪惡公司黑客聯系起來

微軟周五披露了基于 Raspberry Robin USB 的蠕蟲與一個臭名昭著的俄羅斯網絡犯罪組織 Evil Corp 之間的潛在聯系。

這家科技巨頭表示，它觀察到FakeUpdates（又名 SocGholish）惡意軟件于 2022 年 7 月 26 日通過現有的 Raspberry Robin 感染傳播。

Raspberry Robin，也稱為 QNAP 蠕蟲，已知會通過包含惡意 .LNK 文件的受感染 USB 設備從受感染的系統傳播到目標網絡中的其他設備。

該活動于 2021 年 9 月由 Red Canary 首次發現，一直難以捉摸，因為沒有記錄后期活動，也沒有任何具體聯系將其與已知的威脅行為者或組織聯系起來。

因此，該披露標志著威脅行為者在利用惡意軟件獲得對 Windows 機器的初始訪問權限時執行的利用后行動的第一個證據。

微軟指出：“受影響系統上與 DEV-0206 相關的 FakeUpdates 活動已導致類似 DEV-0243 預勒索軟件行為的后續行動。”

DEV-0206 是 Redmond 對初始訪問代理的綽號，該代理通過誘使目標以 ZIP 存檔的形式下載虛假瀏覽器更新來部署名為 FakeUpdates 的惡意 JavaScript 框架。

該惡意軟件的核心是充當其他活動的渠道，這些活動利用從 DEV-0206 購買的訪問權限來分發其他有效載荷，主要是歸因于 DEV-0243（也稱為 Evil Corp）的 Cobalt Strike 加載程序。

被稱為 Gold Drake 和 Indrik Spider，出于經濟動機的黑客組織歷來運營 Dridex 惡意軟件，并且多年來已轉向部署一系列勒索軟件系列，包括最近的LockBit。

“'Evil Corp' 活動組使用 RaaS 有效負載可能是 DEV-0243 試圖避免歸因于他們的組，這可能會由于他們的受制裁狀態而阻礙付款，”微軟表示。

目前尚不清楚 Evil Corp、DEV-0206 和 DEV-0243 之間可能存在哪些確切聯系。

Red Canary 情報總監 Katie Nickels 在與 The Hacker News 分享的一份聲明中表示，如果這些發現被證明是正確的，將填補 Raspberry Robin 的作案手法的“重大空白”。

“我們繼續看到 Raspberry Robin 的活動，但我們無法將其與任何特定的個人、公司、實體或國家聯系起來，”Nickels 說。

“最終，現在說 Evil Corp 是否對 Raspberry Robin 負責或與之相關還為時過早。勒索軟件即服務 (RaaS) 生態系統是一個復雜的生態系統，不同的犯罪集團相互合作以實現各種目標。因此，很難理清惡意軟件家族與觀察到的活動之間的關系。”