Cuma günü Microsoft, Raspberry Robin USB tabanlı solucan ile Evil Corp olarak izlenen kötü şöhretli bir Rus siber suç grubu arasında potansiyel bir bağlantı olduğunu açıkladı.
Teknoloji devi, 26 Temmuz 2022’de mevcut Raspberry Robin enfeksiyonları yoluyla FakeUpdates (aka SocGholish) kötü amaçlı yazılımının teslim edildiğini gözlemlediğini söyledi.
QNAP Worm olarak da adlandırılan Raspberry Robin’in, kötü amaçlı .LNK dosyaları içeren virüslü USB aygıtları aracılığıyla güvenliği ihlal edilmiş bir sistemden hedef ağdaki diğer aygıtlara yayıldığı bilinmektedir.
İlk olarak Eylül 2021’de Red Canary tarafından tespit edilen kampanya, daha sonraki hiçbir faaliyetin belgelenmemesi ve onu bilinen bir tehdit aktörü veya grubuna bağlayan herhangi bir somut bağlantı olmaması nedeniyle zor olmuştur.
Açıklama, tehdit aktörü tarafından bir Windows makinesine ilk erişim sağlamak için kötü amaçlı yazılımdan yararlanıldıktan sonra gerçekleştirilen istismar sonrası eylemlerin ilk kanıtıdır.
Microsoft, “Etkilenen sistemlerdeki DEV-0206 ile ilişkili FakeUpdates etkinliği, o zamandan beri DEV-0243 fidye yazılımı öncesi davranışına benzeyen takip eden eylemlere yol açtı” dedi.
DEV-0206, Redmond’un, hedefleri sahte tarayıcı güncellemelerini indirmeye ikna ederek FakeUpdates adlı kötü niyetli bir JavaScript çerçevesini dağıtan bir ilk erişim aracısının takma adıdır.
Kötü amaçlı yazılım, özünde, Evil Corp olarak da bilinen DEV-0243’e atfedilen Kobalt Strike yükleyicileri başta olmak üzere diğer yükleri dağıtmak için DEV-0206’dan satın alınan bu erişimi kullanan diğer kampanyalar için bir kanal görevi görür.
Gold Drake ve Indrik Spider olarak da adlandırılan, finansal olarak motive edilmiş bilgisayar korsanlığı grubu, geçmişte Dridex kötü amaçlı yazılımını işletti ve o zamandan beri, en son LockBit de dahil olmak üzere, yıllar içinde bir dizi fidye yazılımı ailesini dağıtmaya geçti.
Microsoft, “‘EvilCorp’ etkinlik grubu tarafından bir RaaS yükünün kullanılması, büyük olasılıkla DEV-0243’ün kendi gruplarına atıfta bulunmaktan kaçınma girişimidir, bu da yaptırıma tabi durumları nedeniyle ödemeyi caydırabilir” dedi.
Evil Corp, DEV-0206 ve DEV-0243’ün birbirleriyle tam olarak hangi bağlantılara sahip olabileceği hemen belli değil.
Red Canary’nin istihbarat direktörü Katie Nickels, The Hacker News ile paylaşılan bir açıklamada, bulguların doğru olduğu kanıtlanırsa, Raspberry Robin’in çalışma şekliyle “büyük bir boşluğu” dolduracağını söyledi.
Nickels, “Ahududu Robin etkinliğini görmeye devam ediyoruz, ancak bunu belirli bir kişi, şirket, kuruluş veya ülke ile ilişkilendiremedik” dedi.
“Sonuçta, Evil Corp’un Raspberry Robin’den sorumlu veya onunla ilişkili olup olmadığını söylemek için henüz çok erken. Hizmet olarak Fidye Yazılımı (RaaS) ekosistemi, farklı suç gruplarının bir başarı elde etmek için birbirleriyle ortak olduğu karmaşık bir ekosistemdir. Sonuç olarak, kötü amaçlı yazılım aileleri ile gözlemlenen etkinlik arasındaki ilişkileri çözmek zor olabilir.”