Microsoft связывает червя Raspberry Robin с группировкой Evil Corp

Специалисты Microsoft обнаружили, что брокер доступов, отслеживаемый как DEV-0206, использует червя Raspberry Robin для развертывания дроппера в сетях, где были найдены следы вредоносной активности Evil Corp.

Аналитики Microsoft обнаружили вредоносное ПО FakeUpdates 26 июля 2022 года. Оно доставлялось в системы жертв через существующие заражения Raspberry Robin.

Связанная с DEV-0206 активность FakeUpdates в затронутых системах привела к действиям, напоминающим поведение DEV-0243 до запуска вымогательского ПО.

Согласно информации, предоставленной Microsoft, Raspberry Robin был обнаружен в сетях сотен организаций из самых разных отраслей промышленности.

Впервые червь был замечен в сентябре 2021 года аналитиками Red Canary . Raspberry Robin распространяется на новые системы Windows при подключении зараженного USB-накопителя, содержащего вредоносный LNK-файл. После подключения, червь с помощью командной строки создает новый процесс для запуска вредоносного файла с зараженного накопителя. Raspberry Robin использует стандартный установщик Microsoft (msiexec.exe) для связи со своими C2-серверами, размещенными на взломанных устройствах QNAP и использующими выходные узлы TOR в качестве дополнительной инфраструктуры C2.

Это первый случай, когда исследователи нашли доказательства того, как хакеры, стоящие за Raspberry Robin, планируют использовать доступ к сетям жертв, полученный с помощью этого червя.