微软表示,一个被追踪为DEV-0950的威胁组织使用 Clop 勒索软件来加密先前感染了Raspberry Robin 蠕虫的受害者网络。
据悉,DEV-0950 恶意活动与追踪为FIN11和TA505的网络犯罪组织重叠,这些组织以在目标系统上部署Clop勒索软件而闻名。除了勒索软件,Raspberry Robin蠕虫还被用于将其他第二阶段的有效载荷投放到受感染的设备上,具体包括 IcedID、Bumblebee 和 Truebot。
安全分析师称,Raspberry Robin蠕虫通过恶意 .LNK 文件的BadUSB 设备传播到其他设备。连接BadUSB 设备并单击链接后,蠕虫将使用cmd.exe生成一个msiexec进程,以启动存储在受感染驱动器上的第二个恶意文件。在受感染的 Windows 设备上,它与其命令和控制服务器 (C2) 进行通信。在使用几个合法的 Windows 实用程序(fodhelper、msiexec 和 odbcconf)绕过受感染系统上的用户帐户控制 (UAC) 后,它还提供和执行额外的有效负载。[阅读原文]
发表评论
您还未登录,请先登录。
登录