微软表示,一个被追踪为 DEV-0950 的威胁组织使用 Clop 勒索软件来加密先前感染了 Raspberry Robin 蠕虫的受害者的网络。
DEV-0950 恶意活动与追踪为 FIN11 和 TA505 的出于经济动机的网络犯罪组织重叠,这些组织以在目标系统上部署 Clop 有效载荷勒索软件而闻名。
除了勒索软件,Raspberry Robin 还被用于将其他第二阶段的有效载荷投放到受感染的设备上,包括 IcedID、Bumblebee 和 Truebot。
从 2022 年 9 月 19 日开始,微软发现 Raspberry Robin 蠕虫感染部署了 IcedID 以及后来在其他受害者身上的 Bumblebee 和 TrueBot 有效载荷。2022 年 10 月,微软研究人员观察到 Raspberry Robin 感染,随后是 DEV-0950 的 Cobalt Strike 活动。该活动在某些情况下包括 Truebot 感染,最终部署了 Clop 勒索软件。
这意味着Raspberry Robin 的运营商向勒索软件团伙和附属机构出售了对受感染企业系统的初始访问权限,他们现在除了网络钓鱼电子邮件和恶意广告之外,还有另一种方法可以进入目标网络。
7 月下旬,微软还表示,它 在网络上检测到 Evil Corp 预勒索软件行为 ,其中被跟踪为 DEV-0206 的访问代理在受 Raspberry Robin 感染的设备上删除了 FakeUpdates(又名 SocGholish)后门。
Red Canary 情报分析师于 2021 年 9 月发现 ,Raspberry Robin 通过包含恶意 .LNK 文件的受感染 USB 设备传播到其他设备。
连接 USB 设备并且用户单击链接后,蠕虫将使用 cmd.exe 生成一个 msiexec 进程,以启动存储在受感染驱动器上的第二个恶意文件。
在受感染的 Windows 设备上,它与C2进行通信。在使用几个合法的 Windows 实用程序(fodhelper、msiexec 和 odbcconf)绕过受感染系统上的用户帐户控制 (UAC) 后,它还提供和执行额外的有效负载。
微软在 7 月初表示,它在来自各行各业的数百家组织的网络上检测到了 Raspberry Robin 恶意软件感染。该蠕虫在过去一个月内已经传播到属于近 1,000 个组织的系统。
微软补充说:“Microsoft Defender for Endpoint 数据表明,近 1,000 个组织中的近 3,000 台设备在过去 30 天内至少看到了一个与 Raspberry Robin 有效负载相关的警报。”
版权声明:CosMeDna所有作品(图文、音视频)均由用户自行上传分享,仅供网友学习交流。若您的权利被侵害,请联系删除!
本文链接://www.cosmedna.com/article/314111997.html
