Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Microsoft связывает червя Raspberry Robin с группировкой Evil Corp

03/08/22

hack157

Специалисты Microsoft обнаружили, что брокер доступов, отслеживаемый как DEV-0206, использует червя Raspberry Robin для развертывания дроппера в сетях, где были найдены следы вредоносной активности Evil Corp.

Аналитики Microsoft обнаружили вредоносное ПО FakeUpdates 26 июля 2022 года. Оно доставлялось в системы жертв через существующие заражения Raspberry Robin.

Связанная с DEV-0206 активность FakeUpdates в затронутых системах привела к действиям, напоминающим поведение DEV-0243 до запуска вымогательского ПО.

Согласно информации, предоставленной Microsoft, Raspberry Robin был обнаружен в сетях сотен организаций из самых разных отраслей промышленности.

Впервые червь был замечен в сентябре 2021 года аналитиками Red Canary, пишут в Securitylab. Raspberry Robin распространяется на новые системы Windows при подключении зараженного USB-накопителя, содержащего вредоносный LNK-файл. После подключения, червь с помощью командной строки создает новый процесс для запуска вредоносного файла с зараженного накопителя. Raspberry Robin использует стандартный установщик Microsoft (msiexec.exe) для связи со своими C2-серверами, размещенными на взломанных устройствах QNAP и использующими выходные узлы TOR в качестве дополнительной инфраструктуры C2.

Это первый случай, когда исследователи нашли доказательства того, как хакеры, стоящие за Raspberry Robin, планируют использовать доступ к сетям жертв, полученный с помощью этого червя.

Темы:MicrosoftУгрозычерви
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...