技術支援
文件
登錄
聯繫我們
駭客使用 Clop 勒索軟體來瞄準感染樹莓羅賓蠕蟲的組織
奧班拉·奧佩耶米
實施期間: 2022年11月9 日 - TuxCare專家團隊
一個被簡單地識別為 DEV-0950 的駭客組織正在使用 CIop 勒索軟體來加密以前感染過樹莓羅賓蠕蟲的組織網路。
Raspberry Robin是一種Windows蠕蟲,通過可移動的USB設備傳播。它使用 Windows 安裝程式存取 QNAP 關聯域並下載惡意 DLL。然後,惡意軟體使用 TOR 出口節點作為備份 C2 基礎結構。
該惡意軟體使用 cmd.exe 讀取和執行存儲在受感染的外部驅動器上的檔。它利用 msiexec.exe 與惡意域進行外部網路通信,該域用作 C2 來下載和安裝 DLL 庫檔。
儘管該惡意軟體被用於與 DEV-0950 相關的入侵後活動,但 Microsoft Defender for Endpoint 收集的數據顯示,在過去 30 天內,近 1,000 個組織中的近 3,500 台設備遭到入侵,其中至少有一個與 RaspberryRobin 有效負載相關的警報。
DEV-0950進行的攻擊導致使用鈷打擊信標。在其他情況下,攻擊者在Raspberry Robin感染和Cobalt Strike部署之間傳遞了Truebot惡意軟體。調查進一步表明,專家從 2022 年 9 月 19 日開始使用 IcedID 大黃蜂和 TrueBot 有效載荷觀察蠕蟲感染,攻擊的最後階段是部署 CIop 勒索軟體。
但是,DEV-0950 並不是唯一利用此漏洞對組織發起勒索軟體攻擊的威脅參與者。研究人員觀察到FakeUpdates通過Raspberry Robin惡意軟體傳播。據微軟研究人員稱,另一個被識別為 DEV-0206 的威脅行為者負責使用該蠕蟲在由具有 Evil Corp TTP 的威脅行為者控制的網路上部署下載器。
研究人員解釋說,DEV-0206是一個訪問代理,它使用惡意軟體廣告活動來破壞公司網路。
“DEV-0950 傳統上使用網络釣魚來獲取大多數受害者,因此這種使用Raspberry Robin 的顯著轉變使他們能夠向現有感染提供有效載荷,並更快地將他們的活動轉移到勒索軟體階段。鑒於網路犯罪經濟的相互關聯性,這些與Raspberry Robin相關的惡意軟體活動背後的參與者 - 通常通過惡意廣告或電子郵件等其他方式分發 - 正在向Raspberry Robin運營商支付惡意軟體安裝費用,“微軟發佈的報告寫道。
這篇文章的來源包括 《安全事務》上的一篇文章。
