Les Pirates Russes Evil Corp

Microsoft a révélé vendredi une connexion potentielle entre le ver USB Raspberry Robin et un tristement célèbre groupe de cybercriminalité russe suivi sous le nom d’Evil Corp.

Le géant de la technologie a dit il a observé que le malware FakeUpdates (alias SocGholish) était diffusé via des infections Raspberry Robin existantes le 26 juillet 2022.

Raspberry Robin, également appelé ver QNAP, est connu pour se propager à partir d’un système compromis via des périphériques USB infectés contenant des fichiers .LNK malveillants vers d’autres périphériques du réseau cible.

La Cyber-Sécurité

La campagne, qui a été repérée pour la première fois par Red Canary en septembre 2021, a été insaisissable en ce sens qu’aucune activité ultérieure n’a été documentée et qu’il n’y a aucun lien concret la liant à un acteur ou un groupe de menace connu.

La divulgation marque la première preuve d’actions post-exploitation menées par l’acteur de la menace lors de l’exploitation du logiciel malveillant pour obtenir un accès initial à une machine Windows.

Publicité

« L’activité FakeUpdates associée à DEV-0206 sur les systèmes concernés a depuis conduit à des actions de suivi ressemblant au comportement pré-ransomware de DEV-0243 », a noté Microsoft.

Ver Usb Raspberry Robin

DEV-0206 est le surnom de Redmond pour un courtier d’accès initial qui déploie un framework JavaScript malveillant appelé FakeUpdates en incitant les cibles à télécharger de fausses mises à jour de navigateur.

Le malware, à la base, agit comme un conduit pour d’autres campagnes qui utilisent cet accès acheté auprès de DEV-0206 pour distribuer d’autres charges utiles, principalement des chargeurs Cobalt Strike attribués à DEV-0243, également connu sous le nom d’Evil Corp.

Également appelé Gold Drake et Indrik Spider, le groupe de piratage à motivation financière a historiquement exploité le malware Dridex et a depuis opté pour le déploiement d’une série de familles de ransomwares au fil des ans, y compris plus récemment LockBit.

La Cyber-Sécurité

« L’utilisation d’une charge utile RaaS par le groupe d’activités ‘EvilCorp’ est probablement une tentative de DEV-0243 d’éviter l’attribution à leur groupe, ce qui pourrait décourager le paiement en raison de leur statut sanctionné », a déclaré Microsoft.

On ne sait pas immédiatement quelles relations exactes Evil Corp, DEV-0206 et DEV-0243 peuvent avoir entre eux.

Katie Nickels, directrice du renseignement chez Red Canary, a déclaré dans un communiqué partagé avec The Hacker News que les conclusions, si elles s’avèrent correctes, comblent une « lacune majeure » avec le modus operandi de Raspberry Robin.

« Nous continuons à voir l’activité de Raspberry Robin, mais nous n’avons pas été en mesure de l’associer à une personne, une entreprise, une entité ou un pays en particulier », a déclaré Nickels.

« En fin de compte, il est trop tôt pour dire si Evil Corp est responsable ou associé à Raspberry Robin. L’écosystème Ransomware-as-a-Service (RaaS) est complexe, où différents groupes criminels s’associent pour parvenir à un variété d’objectifs. Par conséquent, il peut être difficile de démêler les relations entre les familles de logiciels malveillants et l’activité observée.

Rate this post
Publicité
Article précédentMobile Palace’ revisite l’histoire du textile indien à travers une optique contemporaine
Article suivantFortnite en monde ouvert est peut-être le seul moyen d’atteindre le métaverse de Donald Mustard
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici