Microsoft в пятницу, 30 июля 2022 года, сообщила о возможной связи между USB-червём Raspberry Robin и известной российской киберпреступной группой, которую в компании отслеживают под именем Evil Corp. Это первое свидетельство того, что за загадочным вредоносом может стоять конкретный крупный игрок.
По данным Microsoft, 26 июля 2022 года через уже заражённые Raspberry Robin системы начали распространять вредоносное ПО FakeUpdates (оно же SocGholish). Раньше подобной активности за этим червём не фиксировали, поэтому наблюдение стало первым задокументированным примером действий злоумышленников уже после первичного заражения.
Что известно о Raspberry Robin
Raspberry Robin, также называемый QNAP Worm, распространяется с заражённой машины через USB-устройства, на которых лежит вредоносный файл с расширением .LNK. Оттуда он расходится по остальным устройствам в сети жертвы.
Впервые кампанию заметили специалисты Red Canary ещё в сентябре 2021 года, но она оставалась крайне скрытной: никакой активности на более поздних этапах атаки не наблюдалось, а связать червя с каким-либо известным злоумышленником или группой долго не удавалось. Именно поэтому находка Microsoft закрывает, как выразились исследователи, «серьёзный пробел» в понимании того, как работает Raspberry Robin.
Цепочка: от FakeUpdates до Evil Corp
Активность FakeUpdates Microsoft связывает с группой, обозначенной как DEV-0206, — это брокер первичного доступа. Он подсовывает жертвам поддельные обновления браузера в виде ZIP-архивов и таким образом внедряет вредоносный JavaScript-фреймворк FakeUpdates.
По сути этот вредонос служит каналом для других кампаний: доступ, купленный у DEV-0206, используется для доставки дополнительной полезной нагрузки — в первую очередь загрузчиков Cobalt Strike, которые приписывают группе DEV-0243, она же Evil Corp.
Эту финансово мотивированную группировку знают также под именами Gold Drake и Indrik Spider. Исторически она стояла за вредоносом Dridex, а затем переключилась на целую серию семейств программ-вымогателей, включая недавний LockBit.
«Использование группировкой Evil Corp полезной нагрузки по модели RaaS, вероятно, является попыткой DEV-0243 избежать атрибуции, ведь связь с их группой могла бы отпугнуть жертв от выплаты выкупа из-за наложенных на неё санкций», — отметили в Microsoft.
Выводы делать рано
Что именно связывает Evil Corp, DEV-0206 и DEV-0243 между собой, пока точно не ясно. Кэти Никелс, директор по разведке в Red Canary, в комментарии для The Hacker News подчеркнула, что при подтверждении находки закрыли бы важный пробел в понимании работы Raspberry Robin.
«Мы продолжаем наблюдать активность Raspberry Robin, но так и не смогли связать её с конкретным человеком, компанией, организацией или страной, — сказала Никелс. — В конечном счёте пока рано утверждать, что Evil Corp отвечает за Raspberry Robin или связана с ним. Экосистема Ransomware-as-a-Service устроена сложно: разные преступные группы объединяются друг с другом ради самых разных целей. Из-за этого распутать связи между семействами вредоносов и наблюдаемой активностью бывает непросто».
Источник: The Hacker News.