Microsoft, Dev-0950'nin izlenen bir tehdit grubunun, daha önce ahududu robin solucanıyla enfekte olmuş bir kurbanın ağını şifrelemek için klop fidye yazılımı kullandığını söyledi.
Dev-0950 Kötü niyetli etkinlik, Fin11 ve TA505 olarak izlenen finansal olarak motive edilmiş siber suç gruplarıyla örtüşüyor ve Clop yükleri fidye yazılımlarını hedeflerin sistemlerine dağıttığı biliniyor.
Ransomware'in yanı sıra, Raspberry Robin de Icedid, Bumblebee ve Truebot dahil olmak üzere tehlikeye atılmış cihazlara diğer ikinci aşamalı yükleri bırakmak için kullanılmıştır.
Microsoft Güvenlik Tehdit İstihbarat Analistleri, "19 Eylül 2022'den itibaren Microsoft, Icedid ve - diğer kurbanlara daha küçük olan Ahududu Robin solucan enfeksiyonlarını tanımladı.
"Ekim 2022'de Microsoft araştırmacıları, ahududu robin enfeksiyonlarını ve ardından Dev-0950'den kobalt grev aktivitesi gözlemledi. Bazı durumlarda bir truebot enfeksiyonu içeren bu aktivite sonunda klop fidye yazılımlarını kullandı."
Bu, Raspberry Robin'in operatörlerini, kimlik avı ve kötü niyetli reklamların yanı sıra hedeflerinin ağlarına girmenin ek bir yolu olan fidye yazılımı çetelerine ve bağlı kuruluşlara tehlikeye atılan kurumsal sistemlere ilk erişim satan ipuçlarını ima ediyor.
Temmuz ayı sonlarında Microsoft ayrıca, bir erişim brokeri DEV-0206 olarak izlenen bir erişim brokeri, Ahududu robin ile enfekte cihazlarda FakeUpdates (AKA Socgholish) arka kapısını düşürdüğü ağlarda Evil Corp öncesi yazılım davranışını tespit ettiğini söyledi.
Eylül 2021'de Red Canary istihbarat analistleri tarafından tespit edilen Raspberry Robin, kötü niyetli bir .lnk dosyası içeren enfekte USB cihazları aracılığıyla diğer cihazlara yayılıyor.
USB cihazı eklendikten ve kullanıcı bağlantıyı tıkladıktan sonra, solucan enfekte sürücüde depolanan ikinci bir kötü amaçlı dosyayı başlatmak için cmd.exe kullanarak bir msiexec işlemi oluşturacaktır.
Geri ihlal edilen Windows cihazlarında, komut ve kontrol sunucularıyla iletişim kurar (C2). Ayrıca, birkaç meşru Windows yardımcı programları (Fodhelper, Msiexec ve ODBCConf) kullanarak enfekte sistemlerde kullanıcı hesabı kontrolünü (UAC) atladıktan sonra ek yükler sunar ve yürütür.
Microsoft, Temmuz ayı başlarında, çok çeşitli endüstri sektörlerinden yüzlerce kuruluşun ağlarında ahududu Robin kötü amaçlı yazılım enfeksiyonunu tespit ettiğini söyledi.
Bugün şirket, solucanın geçen ay içinde yaklaşık 1.000 kuruluşa ait sistemlere yayıldığını açıkladı.
Microsoft, "Son nokta verileri için Microsoft Defender, yaklaşık 1.000 kuruluştaki yaklaşık 3.000 cihazın son 30 gün içinde en az bir Raspberry Robin yükü ile ilgili uyarı gördüğünü gösteriyor."
Ransomware'de Hafta - 28 Ekim 2022 - Sağlık Sızıntıları
Sahte yetişkin siteleri fidye yazılımı olarak gizlenmiş veri sileceklerini itin
Mac'inizi fidye yazılımlarına ve diğer siber tellere karşı nasıl korursunuz
Fidye Yazılımı Veri hırsızlığı aracı gasp taktiklerinde bir değişim gösterebilir
VMware, Microsoft yaygın Chromeloader kötü amaçlı yazılım saldırılarını uyardı
Kaynak: Bleeping Computer