微软将 Raspberry Robin USB 蠕虫与俄罗斯邪恶公司黑客联系起来

微软周五披露了基于 Raspberry Robin USB 的蠕虫与一个臭名昭著的俄罗斯网络犯罪组织 Evil Corp 之间的潜在联系。

这家科技巨头表示，它观察到FakeUpdates（又名 SocGholish）恶意软件于 2022 年 7 月 26 日通过现有的 Raspberry Robin 感染传播。

Raspberry Robin，也称为 QNAP 蠕虫，已知会通过包含恶意 .LNK 文件的受感染 USB 设备从受感染的系统传播到目标网络中的其他设备。

该活动于 2021 年 9 月由 Red Canary 首次发现，一直难以捉摸，因为没有记录后期活动，也没有任何具体联系将其与已知的威胁行为者或组织联系起来。

因此，该披露标志着威胁行为者在利用恶意软件获得对 Windows 机器的初始访问权限时执行的利用后行动的第一个证据。

微软指出：“受影响系统上与 DEV-0206 相关的 FakeUpdates 活动已导致类似 DEV-0243 预勒索软件行为的后续行动。”

DEV-0206 是 Redmond 对初始访问代理的绰号，该代理通过诱使目标以 ZIP 存档的形式下载虚假浏览器更新来部署名为 FakeUpdates 的恶意 JavaScript 框架。

该恶意软件的核心是充当其他活动的渠道，这些活动利用从 DEV-0206 购买的访问权限来分发其他有效载荷，主要是归因于 DEV-0243（也称为 Evil Corp）的 Cobalt Strike 加载程序。

被称为 Gold Drake 和 Indrik Spider，出于经济动机的黑客组织历来运营 Dridex 恶意软件，并且多年来已转向部署一系列勒索软件系列，包括最近的LockBit。

“'Evil Corp' 活动组使用 RaaS 有效负载可能是 DEV-0243 试图避免归因于他们的组，这可能会由于他们的受制裁状态而阻碍付款，”微软表示。

目前尚不清楚 Evil Corp、DEV-0206 和 DEV-0243 之间可能存在哪些确切联系。

Red Canary 情报总监 Katie Nickels 在与 The Hacker News 分享的一份声明中表示，如果这些发现被证明是正确的，将填补 Raspberry Robin 的作案手法的“重大空白”。

“我们继续看到 Raspberry Robin 的活动，但我们无法将其与任何特定的个人、公司、实体或国家联系起来，”Nickels 说。

“最终，现在说 Evil Corp 是否对 Raspberry Robin 负责或与之相关还为时过早。勒索软件即服务 (RaaS) 生态系统是一个复杂的生态系统，不同的犯罪集团相互合作以实现各种目标。因此，很难理清恶意软件家族与观察到的活动之间的关系。”