Microsoft a révélé vendredi une connexion potentielle entre le ver USB Raspberry Robin et un tristement célèbre groupe de cybercriminalité russe suivi sous le nom d’Evil Corp.
Le géant de la technologie a dit il a observé que le malware FakeUpdates (alias SocGholish) était diffusé via des infections Raspberry Robin existantes le 26 juillet 2022.
Raspberry Robin, également appelé ver QNAP, est connu pour se propager à partir d’un système compromis via des périphériques USB infectés contenant des fichiers .LNK malveillants vers d’autres périphériques du réseau cible.
La campagne, qui a été repérée pour la première fois par Red Canary en septembre 2021, a été insaisissable en ce sens qu’aucune activité ultérieure n’a été documentée et qu’il n’y a aucun lien concret la liant à un acteur ou un groupe de menace connu.
La divulgation marque la première preuve d’actions post-exploitation menées par l’acteur de la menace lors de l’exploitation du logiciel malveillant pour obtenir un accès initial à une machine Windows.
« L’activité FakeUpdates associée à DEV-0206 sur les systèmes concernés a depuis conduit à des actions de suivi ressemblant au comportement pré-ransomware de DEV-0243 », a noté Microsoft.
DEV-0206 est le surnom de Redmond pour un courtier d’accès initial qui déploie un framework JavaScript malveillant appelé FakeUpdates en incitant les cibles à télécharger de fausses mises à jour de navigateur.
Le malware, à la base, agit comme un conduit pour d’autres campagnes qui utilisent cet accès acheté auprès de DEV-0206 pour distribuer d’autres charges utiles, principalement des chargeurs Cobalt Strike attribués à DEV-0243, également connu sous le nom d’Evil Corp.
Également appelé Gold Drake et Indrik Spider, le groupe de piratage à motivation financière a historiquement exploité le malware Dridex et a depuis opté pour le déploiement d’une série de familles de ransomwares au fil des ans, y compris plus récemment LockBit.
« L’utilisation d’une charge utile RaaS par le groupe d’activités ‘EvilCorp’ est probablement une tentative de DEV-0243 d’éviter l’attribution à leur groupe, ce qui pourrait décourager le paiement en raison de leur statut sanctionné », a déclaré Microsoft.
On ne sait pas immédiatement quelles relations exactes Evil Corp, DEV-0206 et DEV-0243 peuvent avoir entre eux.
Katie Nickels, directrice du renseignement chez Red Canary, a déclaré dans un communiqué partagé avec The Hacker News que les conclusions, si elles s’avèrent correctes, comblent une « lacune majeure » avec le modus operandi de Raspberry Robin.
« Nous continuons à voir l’activité de Raspberry Robin, mais nous n’avons pas été en mesure de l’associer à une personne, une entreprise, une entité ou un pays en particulier », a déclaré Nickels.
« En fin de compte, il est trop tôt pour dire si Evil Corp est responsable ou associé à Raspberry Robin. L’écosystème Ransomware-as-a-Service (RaaS) est complexe, où différents groupes criminels s’associent pour parvenir à un variété d’objectifs. Par conséquent, il peut être difficile de démêler les relations entre les familles de logiciels malveillants et l’activité observée.