Microsoft pada hari Jumat mengungkapkan hubungan potensial antara worm berbasis USB Raspberry Robin dan kelompok kejahatan dunia maya Rusia yang terkenal yang dilacak sebagai Evil Corp.
Raksasa teknologi itu mengatakan telah mengamati malware FakeUpdates (alias SocGholish) yang dikirimkan melalui infeksi Raspberry Robin yang ada pada 26 Juli 2022.
Raspberry Robin, juga disebut QNAP Worm, diketahui menyebar dari sistem yang disusupi melalui perangkat USB terinfeksi yang berisi file .LNK berbahaya ke perangkat lain di jaringan target.
Kampanye tersebut, yang pertama kali ditemukan oleh Red Canary pada September 2021, sulit dipahami karena tidak ada aktivitas tahap selanjutnya yang didokumentasikan dan juga tidak ada hubungan nyata yang mengaitkannya dengan aktor atau kelompok ancaman yang diketahui.
Pengungkapan tersebut menandai bukti pertama tindakan pasca-eksploitasi yang dilakukan oleh pelaku ancaman setelah memanfaatkan malware untuk mendapatkan akses awal ke mesin Windows.
“Aktivitas FakeUpdates terkait DEV-0206 pada sistem yang terpengaruh sejak itu menyebabkan tindakan lanjutan yang menyerupai perilaku pra-ransomware DEV-0243,” catat Microsoft.
DEV-0206 adalah moniker Redmond untuk broker akses awal yang menyebarkan kerangka kerja JavaScript berbahaya yang disebut FakeUpdates dengan menarik target untuk mengunduh pembaruan browser palsu.
Malware, pada intinya, bertindak sebagai saluran untuk kampanye lain yang menggunakan akses yang dibeli dari DEV-0206 ini untuk mendistribusikan muatan lain, terutama pemuat Cobalt Strike yang dikaitkan dengan DEV-0243, yang juga dikenal sebagai Evil Corp.
Juga disebut Gold Drake dan Indrik Spider, kelompok peretas yang bermotivasi finansial ini secara historis mengoperasikan malware Dridex dan sejak itu beralih untuk menyebarkan serangkaian keluarga ransomware selama bertahun-tahun, termasuk yang terbaru LockBit.
“Penggunaan muatan RaaS oleh grup aktivitas ‘EvilCorp’ kemungkinan merupakan upaya DEV-0243 untuk menghindari atribusi ke grup mereka, yang dapat menghambat pembayaran karena status sanksi mereka,” kata Microsoft.
Tidak segera jelas hubungan pasti apa yang mungkin dimiliki Evil Corp, DEV-0206, dan DEV-0243 satu sama lain.
Katie Nickels, direktur intelijen di Red Canary, mengatakan dalam sebuah pernyataan yang dibagikan kepada The Hacker News bahwa temuan itu, jika terbukti benar, mengisi “kesenjangan besar” dengan modus operandi Raspberry Robin.
“Kami terus melihat aktivitas Raspberry Robin, tetapi kami belum dapat mengaitkannya dengan orang, perusahaan, entitas, atau negara tertentu,” kata Nickels.
“Pada akhirnya, masih terlalu dini untuk mengatakan jika Evil Corp bertanggung jawab atas, atau terkait dengan, Raspberry Robin. Ekosistem Ransomware-as-a-Service (RaaS) adalah ekosistem yang kompleks, di mana kelompok kriminal yang berbeda bermitra satu sama lain untuk mencapai berbagai tujuan. Akibatnya, sulit untuk menguraikan hubungan antara keluarga malware dan aktivitas yang diamati.”