Diğer kötü amaçlı yazılımlar için yükleyici görevi gören yaygın bir USB tabanlı solucan olan Raspberry Robin, Dridex kötü amaçlı yazılım yükleyicisi ile önemli benzerliklere sahiptir, bu da izin verilen Rus fidye yazılımı grubu Evil Corp’a kadar izlenebileceği anlamına gelir.
IBM Security araştırmacıları, bir Raspberry Robin enfeksiyonu sırasında düşen iki dinamik bağlantı kitaplığını (DLL) tersine çevirdi ve bunları, geçmişte Evil Corp. ile kesin olarak bağlantılı olan bir araç olan Dridex kötü amaçlı yazılım yükleyicisiyle karşılaştırdı – aslında ABD Hazine Bakanlığı Rusya merkezli Evil Corp’u onayladı 2019’da Dridex’i geliştirmek için.
Kod çözme algoritmalarının benzer şekilde çalıştığını, taşınabilir yürütülebilir dosyalardaki rasgele dizeleri kullanmanın yanı sıra, son yükün kodunu benzer bir şekilde çözen ve anti-analiz kodu içeren bir ara yükleyici koduna sahip olduğunu buldular.
IBM Security’de kötü amaçlı yazılım ters mühendisi olan Kevin Henson, “Sonuçlar, yapı ve işlevsellik açısından benzer olduklarını gösteriyor,” diye yazdı. analiz. “Evil Corp muhtemelen saldırılarını gerçekleştirmek için Raspberry Robin altyapısını kullanıyor.”
Ahududu Robin uçuyor
Güvenlik firması Red Canary İlk olarak analiz edildi ve Raspberry Robin olarak adlandırıldı Mayısta. Kısa bir süre sonra, IBM Security de dahil olmak üzere diğer araştırmacıların dikkatini çekti.
Solucan, çalışanlar arasında geçen USB aygıtlarında otostop yaparak dahili ağlar arasında hızla yayılır. Raspberry Robin, kurbanları virüslü bir USB cihazını takmaya ikna etmek için sosyal mühendislik tekniklerine güvenirken, yaz aylarında enfeksiyonlar başladı ve IBM Security’nin hedeflenen sektörlerdeki yönetilen müşterilerinin %17’si enfeksiyon girişimleri gördü.
Ancak, kötü amaçlı yazılım başlangıçta araştırmacıları şaşırttı çünkü virüslü sistemlerde basitçe kış uykusuna yattı ve ikinci aşama yükü yok gibi görünüyordu. Temmuz’da bu değişti: IBM ve Microsoft araştırmacıları, virüslü sistemlerin, genellikle Evil Corp tarafından kullanılan fidye yazılımlarının habercisi olan FakeUpdates kötü amaçlı yazılımını indirmeye başladığını keşfetti.
SocGhoulish olarak da bilinen FakeUpdates, meşru bir yazılım güncellemesi olarak maskelenirancak kurbanın bilgisayarına Cobalt Strike ve Mimikatz gibi popüler saldırı yazılımlarını veya fidye yazılımlarını yükler.
Microsoft, o sırada FakeUpdates’in genellikle şirketin DEV-206 olarak izlediği bir erişim aracısına atfedildiğini belirtti. Evil Corp ise FakeUpdate’leri mevcut Raspberry Robin enfeksiyonları aracılığıyla dağıtma Şüphelenildiği gibi, erişim komisyoncusu ile Evil Corp arasında yakın bir ortaklık olduğunu gösteriyor.
Tarihsel analiz, Ahududu Robin etkinliğinin Eylül 2021’e kadar izlenebileceğini gösteriyor. Kötü amaçlı yazılım genellikle imalat, teknoloji, petrol ve gaz ve ulaşım sektörlerine karşı kullanılıyor.