Microsoft Tautkan Raspberry Robin USB Worm ke Peretas Evil Corp Rusia

  • Bagikan
Russian Evil Corp Hackers

Beritaini.top Microsoft Tautkan Raspberry Robin USB Worm ke Peretas Evil Corp Rusia

Peretas Perusahaan Jahat Rusia

Microsoft pada hari Jumat mengungkapkan hubungan potensial antara worm berbasis USB Raspberry Robin dan kelompok kejahatan dunia maya Rusia yang terkenal yang dilacak sebagai Evil Corp.

Raksasa teknologi dikatakan itu mengamati malware FakeUpdates (alias SocGholish) dikirim melalui infeksi Raspberry Robin yang ada pada 26 Juli 2022.

Raspberry Robin, juga disebut QNAP Worm, diketahui menyebar dari sistem yang disusupi melalui perangkat USB terinfeksi yang berisi file .LNK berbahaya ke perangkat lain di jaringan target.

Keamanan cyber

Kampanye tersebut, yang pertama kali ditemukan oleh Red Canary pada September 2021, sulit dipahami karena tidak ada aktivitas tahap selanjutnya yang didokumentasikan dan juga tidak ada hubungan konkret yang mengaitkannya dengan aktor atau kelompok ancaman yang diketahui.

Pengungkapan, oleh karena itu, menandai bukti pertama dari tindakan pasca-eksploitasi yang dilakukan oleh aktor ancaman setelah memanfaatkan malware untuk mendapatkan akses awal ke mesin Windows.

“Aktivitas FakeUpdates terkait DEV-0206 pada sistem yang terpengaruh sejak itu menyebabkan tindakan lanjutan yang menyerupai perilaku pra-ransomware DEV-0243,” catat Microsoft.

Raspberry Robin USB Worm

DEV-0206 adalah moniker Redmond untuk broker akses awal yang menyebarkan kerangka JavaScript berbahaya yang disebut FakeUpdates dengan memikat target untuk mengunduh pembaruan browser palsu dalam bentuk arsip ZIP.

Malware, pada intinya, bertindak sebagai saluran untuk kampanye lain yang menggunakan akses yang dibeli dari DEV-0206 ini untuk mendistribusikan muatan lain, terutama pemuat Cobalt Strike yang dikaitkan dengan DEV-0243, yang juga dikenal sebagai Evil Corp.

Disebut sebagai Gold Drake dan Indrik Spider, kelompok peretas yang bermotivasi finansial ini secara historis mengoperasikan malware Dridex dan sejak itu beralih untuk menyebarkan serangkaian keluarga ransomware selama bertahun-tahun, termasuk yang terbaru LockBit.

Keamanan cyber

“Penggunaan muatan RaaS oleh grup aktivitas ‘EvilCorp’ kemungkinan merupakan upaya DEV-0243 untuk menghindari atribusi ke grup mereka, yang dapat menghambat pembayaran karena status sanksi mereka,” kata Microsoft.

Tidak segera jelas hubungan pasti apa yang mungkin dimiliki Evil Corp, DEV-0206, dan DEV-0243 satu sama lain.

Katie Nickels, direktur intelijen di Red Canary, mengatakan dalam sebuah pernyataan yang dibagikan kepada The Hacker News bahwa temuan itu, jika terbukti benar, mengisi “kesenjangan besar” dengan modus operandi Raspberry Robin.

“Kami terus melihat aktivitas Raspberry Robin, tetapi kami belum dapat mengaitkannya dengan orang, perusahaan, entitas, atau negara tertentu,” kata Nickels.

“Pada akhirnya, masih terlalu dini untuk mengatakan jika Evil Corp bertanggung jawab atas, atau terkait dengan, Raspberry Robin. Ekosistem Ransomware-as-a-Service (RaaS) adalah ekosistem yang kompleks, di mana kelompok kriminal yang berbeda bermitra satu sama lain untuk mencapai berbagai tujuan. Akibatnya, sulit untuk menguraikan hubungan antara keluarga malware dan aktivitas yang diamati.”

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.