微软将Raspberry Robin USB蠕虫病毒与俄罗斯邪恶公司黑客联系起来

周五，微软披露了这种基于Raspberry Robin USB的蠕虫病毒与一个臭名昭著的俄罗斯网络犯罪集团Evil Corp.之间的潜在联系。

这家科技巨头表示，2022年7月26日，它观察到通过现有的树莓罗宾感染传播的FakeUpdates（又名Sockholish）恶意软件。

Raspberry Robin，也称为QNAP蠕虫，已知会通过包含恶意.LNK文件的受感染USB设备从受损系统传播到目标网络中的其他设备。

红金丝雀于2021 9月首次发现了这场运动，但由于没有任何后期活动的记录，也没有将其与已知威胁行为者或团体联系起来的任何具体联系，这场运动一直难以捉摸。

因此，本次披露标志着威胁行为人在利用恶意软件获得对Windows机器的初始访问权限时采取的攻击后行动的第一个证据。

“自那以后，受影响系统上与DEV-0206相关的FakeUpdates活动导致了类似于DEV-0243勒索前行为的后续行动，”微软指出。

DEV-0206是Redmond的名字，它是一个初始访问代理，通过诱使目标下载ZIP存档形式的虚假浏览器更新，部署了一个名为FakeUpdates的恶意JavaScript框架。

该恶意软件的核心是充当其他活动的渠道，这些活动利用从DEV-0206购买的此访问来分发其他有效载荷，主要是属于DEV-0243的钴打击加载程序，也被称为邪恶公司。

被称为Gold Drake和Indrik Spider的这家出于财务动机的黑客集团过去一直运营着Dridex恶意软件，多年来，该集团转而部署了一系列勒索软件家族，其中包括最近的LockBit。

“EvilCorp”活动组使用RaaS有效载荷可能是DEV-0243试图避免归因于他们的组，这可能会因为他们的受制裁状态而阻碍付款，”微软说。

目前尚不清楚Evil Corp、DEV-0206和DEV-0243之间可能存在哪些确切联系。

红金丝雀的情报总监凯蒂·尼克斯在与《黑客新闻》分享的一份声明中说，如果调查结果被证明是正确的，那么就用覆盆子·罗宾的作案手法填补了“重大空白”。

尼克尔斯说：“我们继续看到树莓知更鸟的活动，但我们无法将其与任何特定的个人、公司、实体或国家联系起来”。

“归根结底，现在说Evil Corp是否对Raspberry Robin负责或与其有关联还为时过早。勒索软件即服务（RaaS）生态系统是一个复杂的生态系统，不同的犯罪集团相互合作以实现各种目标。因此，很难理清恶意软件家族和观察到的活动之间的关系”。