Η Microsoft συνδέει το Raspberry Robin USB Worm με Ρωσικούς χάκερς του Evil Corp

Η Microsoft αποκάλυψε την Παρασκευή μια πιθανή σχέση μεταξύ του τύπου worm που βασίζεται στο Raspberry Pi USB και της διαβόητης ρωσικής ομάδας εγκλήματος στον κυβερνοχώρο που παρακολουθείται ως Evil Corp.

Τεχνικός γίγαντας είπε Παρατήρησε Ψεύτικες ενημερώσεις (γνωστός και ως SocGholish) κακόβουλο λογισμικό που διανέμεται μέσω υπαρχόντων μολύνσεων από το Raspberry Robin στις 26 Ιουλίου 2022.

Το Raspberry Robin είναι επίσης γνωστό ως QNAP Worm είναι γνωστό Το κακόβουλο λογισμικό εξαπλώνεται από το παραβιασμένο σύστημα σε άλλες συσκευές στο δίκτυο προορισμού μέσω μολυσμένων συσκευών USB που περιέχουν ένα αρχείο .LNK.

Κυβερνοασφάλεια

Η εκστρατεία, η οποία εντοπίστηκε για πρώτη φορά από τον Red Canary τον Σεπτέμβριο του 2021, παραμένει άπιαστη επειδή δεν έχουν τεκμηριωθεί ή συνδεθεί σε μεταγενέστερο στάδιο δραστηριότητες με γνωστό παράγοντα ή ομάδα απειλής.

Η αποκάλυψη αντιπροσωπεύει τα πρώτα στοιχεία ενεργειών μετά την εκμετάλλευση που πραγματοποιήθηκαν από έναν παράγοντα απειλής που χρησιμοποιεί κακόβουλο λογισμικό για να αποκτήσει αρχική πρόσβαση σε έναν υπολογιστή με Windows.

“Η δραστηριότητα FakeUpdates που σχετίζεται με το DEV-0206 σε υπολογιστές που επηρεάστηκαν οδήγησε σε ενέργειες παρακολούθησης παρόμοιες με τη συμπεριφορά πριν από το λογισμικό DEV-0243”, σημείωσε η Microsoft.

Raspberry Robin USB Worm

Το DEV-0206 είναι το ψευδώνυμο του Redmond για το Early Access Broker, το οποίο αναπτύσσει ένα κακόβουλο πλαίσιο JavaScript που ονομάζεται FakeUpdates προσελκύοντας στόχους για λήψη ψεύτικων ενημερώσεων προγράμματος περιήγησης.

Το κακόβουλο λογισμικό, στον πυρήνα του, λειτουργεί ως αγωγός για άλλες καμπάνιες που χρησιμοποιούν αυτήν την πρόσβαση που αποκτήθηκε από το DEV-0206 για τη διανομή άλλων ωφέλιμων φορτίων, κυρίως των φορτωτών κοβαλτίου που αποδίδονται στον DEV-0243, επίσης γνωστό ως Evil Corp.

READ  Πώς να αποκτήσετε, να χρησιμοποιήσετε και ούτω καθεξής

Γνωστή και ως Cold Drake και Indrik Spider, η ομάδα hacking με οικονομικά κίνητρα χειριζόταν ιστορικά το κακόβουλο λογισμικό Tridex και έκτοτε έχει προχωρήσει στην ανάπτυξη μιας σειράς οικογενειών ransomware όλα αυτά τα χρόνια. Lockbit.

Κυβερνοασφάλεια

“Η χρήση του ωφέλιμου φορτίου RaaS από την ομάδα λειτουργιών “EvilCorp” μπορεί να είναι μια προσπάθεια αποφυγής διδασκαλίας του DEV-0243 στην ομάδα τους, γεγονός που μπορεί να αποθαρρύνει τις πληρωμές λόγω της υπό κρίση κατάστασής τους”, δήλωσε η Microsoft.

Δεν είναι άμεσα σαφές ποιες ακριβώς συνδέσεις μπορεί να έχουν η Evil Corp, η DEV-0206 και η DEV-0243 μεταξύ τους.

Η Katie Nichols, διευθύντρια πληροφοριών του Red Canary, δήλωσε σε μια δήλωση που κοινοποιήθηκε στο The Hacker News ότι εάν τα ευρήματα αποδειχθούν σωστά, το Raspberry Pi καλύπτει ένα «τεράστιο κενό» στη λειτουργικότητα του Robin.

«Συνεχίζουμε να βλέπουμε τη δραστηριότητα του Raspberry Pi, αλλά δεν μπορέσαμε να τη συνδέσουμε με κάποιο συγκεκριμένο άτομο, εταιρεία, οργανισμό ή χώρα», είπε ο Nichols.

“Τελικά, είναι πολύ νωρίς για να πούμε εάν η Evil Corp είναι υπεύθυνη ή σχετίζεται με το Raspberry Pi. Το οικοσύστημα Ransomware-as-a-Service (RaaS) είναι ένα πολύπλοκο οικοσύστημα, όπου διάφορες εγκληματικές ομάδες πρέπει να συνεργάζονται μεταξύ τους για να επιτύχουν διάφορους στόχους. Ως αποτέλεσμα, οι οικογένειες κακόβουλου λογισμικού και παρατηρήθηκαν Το ξεμπέρδεμα των σχέσεων μεταξύ των δραστηριοτήτων μπορεί να είναι δύσκολο.”

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *