|
恶意广告是指取出搜索引擎广告以引导恶意软件负载,已在许多活动中使用,但微软跟踪为 DEV-0206 的访问代理将其用作访问和配置网络的主要技术。目标被声称是浏览器更新或软件包的广告引诱,下载 ZIP 文件并双击它。ZIP 包包含一个 JavaScript 文件 (.js),在大多数环境中双击该文件即可运行。更改设置以默认使用文本编辑器而不是脚本处理程序打开脚本文件的组织基本上不会受到这种威胁,即使用户双击脚本也是如此。一旦成功执行,JavaScript 框架(也称为SocGholish)将充当其他恶意软件活动的加载程序,这些活动使用从 DEV-0206 购买的访问权限,最常见的是 Cobalt Strike 有效负载。在许多情况下,这些有效载荷导致了归因于 DEV-0243 的定制 Cobalt Strike 装载机。DEV-0243 属于网络情报行业跟踪为“EvilCorp”的活动,定制的 Cobalt Strike 加载程序与公开记录的Blister恶意软件的内部有效负载中看到的类似。在 DEV-0243 与 DEV-0206 的初始合作中,该小组部署了一个名为 WastedLocker 的定制勒索软件有效负载,然后扩展到内部开发的其他 DEV-0243 勒索软件有效负载,例如 PhoenixLocker 和 Macaw。2021 年 11 月左右,DEV-0243 开始在其入侵中部署 LockBit 2.0 RaaS 有效载荷。“EvilCorp”活动组使用 RaaS 有效负载可能是 DEV-0243 试图避免归因于他们的组,这可能会由于他们的受制裁状态而阻止付款。微软周五披露了基于 Raspberry Robin USB 的蠕虫与一个臭名昭著的俄罗斯网络犯罪组织 Evil Corp 之间的潜在联系。微软方面表示观察到FakeUpdates(又名 SocGholish)恶意软件于 2022 年 7 月 26 日通过现有的 Raspberry Robin 感染传播。Raspberry Robin,也称为 QNAP 蠕虫,已知会通过包含恶意 .LNK 文件的受感染 USB 设备从受感染的系统传播到目标网络中的其他设备。该活动于 2021 年 9 月由 Red Canary 首次发现,一直难以捉摸,因为没有记录任何后期活动,也没有任何具体联系将其与已知的威胁行为者或组织联系起来。该披露标志着威胁行为者在利用恶意软件获得对 Windows 计算机的初始访问权限后执行的利用后行动的第一个证据。微软指出:“受影响系统上与 DEV-0206 相关的 FakeUpdates 活动已导致类似 DEV-0243 预勒索软件行为的后续行动。”DEV-0206 是 Redmond 对初始访问代理的绰号,该代理通过诱使目标下载虚假浏览器更新来部署名为 FakeUpdates 的恶意 JavaScript 框架。该恶意软件的核心是充当其他活动的渠道,这些活动利用从 DEV-0206 购买的访问权限来分发其他有效载荷,主要是归因于 DEV-0243(也称为 Evil Corp)的 Cobalt Strike 加载程序。这个出于经济动机的黑客组织也称为 Gold Drake 和 Indrik Spider,历史上一直在运营 Dridex 恶意软件,并且多年来已转向部署一系列勒索软件系列,包括最近的LockBit。“'EvilCorp' 活动组使用 RaaS 有效负载可能是 DEV-0243 试图避免归因于他们的组,这可能会由于他们的受制裁状态而阻碍付款,”微软表示。目前尚不清楚 Evil Corp、DEV-0206 和 DEV-0243 之间可能存在哪些确切联系。Red Canary 情报总监 Katie Nickels 在与 The Hacker News 分享的一份声明中表示,如果这些发现被证明是正确的,它将填补 Raspberry Robin 的作案手法的“重大空白”。Nickels 说:“我们继续看到 Raspberry Robin 的活动,但我们无法将其与任何特定的个人、公司、实体或国家联系起来。最终,现在说 Evil Corp 是否对 Raspberry Robin 负责或与之相关还为时过早。勒索软件即服务 (RaaS) 生态系统是一个复杂的生态系统,不同的犯罪集团相互合作以实现各种目标。因此,很难理清恶意软件家族与观察到的活动之间的关系。”
|
